Error de gravedad «alta» en el software de Bitcoin revelado 2 años después de la corrección

Una vulnerabilidad no revelada anteriormente en el software Bitcoin Core podría haber permitido a los atacantes robar fondos, retrasar acuerdos o dividir la red blockchain más grande en versiones conflictivas si no se hubiera parcheado silenciosamente hace dos años.

Eso es según un artículo publicado el miércoles por Braydon Fuller, un ingeniero de protocolo en el sitio de compras de criptomonedas Purse, que detectó la vulnerabilidad en junio de 2018, y Javed Khan, un desarrollador central del protocolo Handshake.

A la vulnerabilidad se le asignó un nivel de gravedad de 7.8 en una escala de 1 a 10, que se considera «alta» (9 o más se considera «crítica»). Fue causado por «nodos remotos» que no pudieron borrar las transacciones no válidas de su memoria, dijo Khan a CoinDesk.

La incapacidad de borrar esas transacciones podría llevar a que un agresor inunde un nodo víctima con datos obsoletos en lo que se conoce como «consumo de recursos incontrolado», lo que eventualmente provocaría que el nodo se apagara, afirma el documento.

“No había ningún mecanismo para asegurarse de que los detalles pendientes de una transacción sean válidos o no. En ciertos casos, podría llenar la memoria remota con transacciones no válidas ”, dijo Khan.

No se encontró ningún intento de aprovechar el agujero en la naturaleza, escribieron Khan y Fuller. La vulnerabilidad no se pudo revelar públicamente durante más de dos años, ya que los operadores de nodos tardaron más de lo esperado en actualizarse, dijo Fuller.

Si bien se solucionó la vulnerabilidad, su divulgación destaca las dificultades de construir un estándar monetario global en lenguajes de programación creados por humanos, sin mencionar las altas barreras técnicas para participar en el desarrollo de la principal criptomoneda.

La vulnerabilidad se introdujo en Bitcoin Core en noviembre de 2017. Alrededor del 50% de los nodos de Bitcoin en ese momento estaban expuestos al vector de ataque, según el documento. Las versiones anteriores de Bitcoin Core no se vieron afectadas.

Bitcoin Core y más

Khan dijo además que la vulnerabilidad podría haber permitido a un atacante robar fondos de nodos que tenían canales abiertos en Lightning Network, un sistema de pago experimental construido sobre la cadena de bloques de Bitcoin.

Las versiones 0.16.0 y 0.16.1 de Bitcoin Core se vieron afectadas y parcheadas por el desarrollador Matt Corallo luego de la divulgación de Fuller al equipo central en julio de 2018. Corallo no respondió preguntas en busca de comentarios al cierre de esta edición.

El descubrimiento de Fuller (quien también ha trabajado como desarrollador líder en el protocolo de almacenamiento en la nube descentralizado Storj) fue seguido por otro error de Bitcoin abordado dos meses después en Bitcoin Core 0.16.3. También un vector para un ataque de denegación de servicio, un aspecto de ese error permitió a los mineros «inflar el suministro de Bitcoin», ya que podrían gastar el doble de ciertos valores, escribió el equipo de Bitcoin Core en ese momento.

El parche de emergencia emitido en esa versión de Bitcoin Core también abordó el error de Fuller, escribieron Khan y Fuller.

Se reservó un lugar para la vulnerabilidad de consumo de recursos en el registro de Vulnerabilidades y Exposiciones Comunes (CVE) del Instituto Nacional de Estándares y Tecnología como CVE-2018-17145 en 2018, pero aún no se ha completado. El registro actúa como un glosario público de errores de software importantes.

Bitcoin Core es la implementación de referencia o la versión estándar del software de red del que se derivan otros. Según el documento, el exploit también fue posible en varias otras implementaciones de Bitcoin y sus ramificaciones:

Bitcoin Nudos v0.16.0
Todas las versiones beta de Bcoin hasta v1.0.0-pre
Todas las versiones de Btcd hasta v0.20.1-beta
Litecoin Core v0.16.0
Namecoin Core v0.16.1
Todas las versiones de Dcrd hasta v1.5.1.
Todas estas implementaciones han sido parcheadas.

Pagina Original:



Categorías:Noticias

Deja un comentario

A %d blogueros les gusta esto: