محققان امنيتي يك باگ بزرگ بيتكوين را براي جلوگيري از سوءاستفاده دو سال مخفي نگه داشتند
يك محقق امنيتي دو سال پيش باگ بزرگي را در نرمافزار اصلي بلاكچين بيتكوين، Bitcoin Core، كشف كرد. پس از گزارش باگ و رفع آسيبپذيريهاي مرتبط با آن، باز هم گزارش وجود آسيبپذيري منتشر نشد تا از هرگونه سوءاستفادهي مجرمان سايبري جلوگيري شود. اكنون و در سال ۲۰۲۰، جزئياتي از باگ موسوم به INVDoS منتشر شده است.
رمزارزهاي متعددي در دنياي بلاكچين از هستهي اصلي بيتكوين استفاده ميكنند. اين رمزارزها با تكيه بر امنتر بودن بلاكچين بيتكوين، لايههاي ابتدايي را با استفاده از Bitcoin Core توسعه ميدهند. گزارشهاي جديد نشان ميدهد يك رمزارز كه از كد قديمي بيتكوين بهعنوان لايههاي اصلي استفاده ميكند، اكنون در معرض باگي قرار دارد كه دو سال پيش كشف و برطرف شد.
باگ INVDoS (مخفف Inventory Out-of-Memory Denial-of-Service) و حملههاي مرتبط با آن در دستهي باگها و حملههاي سنتي DoS قرار ميگيرد. حملههاي DoS اغلب كمخطر محسوب ميشوند، اما براي سرويسهاي اينترنتي كه نياز به الكترونيك بودن هميشگي دارند، چنين حملهها و آسيبپذيريهاي امنيتي، حكم حياتي بازي ميكنند.
باگ مذكور مجددا در رمزارزهايي كه از كد قديمي بيتكوين استفاده ميكنند رويت شد
بريدان فولر، در سال ۲۰۱۸ باگ INVDoS را كشف كرد. او يك مهندس پروتكل بيتكوين است كه با مطالعه روي كدهاي اصلي بلاكچين اين رمزارز، متوجه يك آسيبپذيري اساسي شد. فولر متوجه شد كه مجرمان ميتوانند با سوءاستفاده از آسيبپذيري، تراكنشهايي مخرب در شبكهي بيتكوين ايجاد كنند. وقتي اين تراكنشها در يكي از نودهاي بلاكچين بيتكوين پردازش شوند، منجر به مصرف بيشازحد و خارج از كنترل ظرفيت حافظهي سرور ميشوند كه درنهايت از كار افتادن سيستم را بههمراه دارد. فولر در گزارش جديد خود نوشت: «زمانيكه اين باگ را پيدا كردم، بيش از ۵۰ درصد از نودهاي عمومي بيتكوين و بسياري از ماينرها و صرافيها، از آسيبپذيري مرتبط با آن رنج ميبردند».
نكتهي مهم اينكه باگ INVDoS علاوه بر سرورها و نودهايي كه از نرمافزار Bitcoin Core استفاده ميكردند، سيستمهاي ديگر را نيز تحت تأثير ميگذارد. نودهايي كه مجهز به Bcoin يا Btcd بودند نيز از آسيبپذيري مذكور در امان نبودند. بهعلاوه، رمزارزهاي ديگري كه از پروتكل اصلي بيتكوين استفاده ميكردند هم در معرض آسيبپذيري بودند. از ميان مهمترين آنها ميتوان به Litecoin و Namecoin اشاره كرد.
فولر در بخشي از گزارش خود به سطح خطرناكي باگ اشاره ميكند كه احتمال از دست دادن سرمايه و درآمد را براي نودهاي بلاكچين بههمراه داشته است: «حملههايي كه با سوءاستفاده از INVDoS انجام ميشد، توقف درآمد معدنكاوي يا افزايش بيشازحد هزينههاي برق را بههمراه داشت. همچنين رمزگشايي بلوكها با تأخير روبهرو ميشد و در برخي موارد هم شاهد پارتيشن شدن موقتي شبكه بوديم. همچنين قراردادهاي حساس به زمان هم شايد با تأخير روبهرو ميشدند و بهطور كلي فرايند اقتصادي با اشكال روبهرو ميشد. تمامي فرايندهاي تجاري، صرافيها، تراكنشها و تبادل رمزارز و شبكهي لايتنينگ و پرداختهاي HTLC هم با اشكال روبهرو ميشدند».
باگ INVDoS در همان سال ۲۰۱۸ گزارش شد و فعالان شبكه، بستهي امنيتي مرتبط با آن را نصب كردند. در اسناد امنيتي نيز اين باگ بهنام CVE-2018-17145 شناخته ميشود. اسنادي كه در سال ۲۰۱۸ منتشر شد، اطلاعات زيادي از باگ ارائه نميداد تا از هرگونه سوءاستفادهي مجرمان سايبري جلوگيري شود. بههرحال، اكنون و پس از گذشت دو سال از شناسايي، مهندس ديگر پروتكل بيتكوين بهنام جاود خان، باگ مشابهي را در رمزارز Decred كشف كرده است.
جاود خان پس از كشف باگ INVDoS در شبكهي رمزارز Decred، آن را به برنامهي شكار باگ گزارش كرد كه درنهايت منجر به رفع باگ و انتشار عمومي اطلاعات جزئي شد. اكنون رمزارزهايي كه از نسخههاي قديمي پروتكل بيتكوين استفاده ميكنند، با مطالعه جزئيات باگ ميتوانند سيستم امنيتي خود را تحليل كرده و درصورت حضور آسيبپذيري INVDoS، آن را برطرف كنند. درنهايت محققان امنيتي اعلام كردند كه هنوز هيچ نمونهاي از سوءاستفاده از باگ INVDoS در ابعاد گسترده كشف نشده است.
هم انديشي ها