💬 Отсутствие автоматического обновления в Bitcoin Core означает, что 13% узлов могут выйти из строя

Отсутствие автоматического обновления в Bitcoin Core означает, что 13% узлов могут выйти из строя

Разработчики Bitcoin сегодня раскрыли подробности еще одной серьезной программной ошибки. По словам старших разработчиков Core, более 13% домашних и рабочих компьютеров по всему миру, которые обеспечивают соблюдение правил Bitcoin, уязвимы для удаленного выключения.

Ошибка, получившая название CVE-2024-35202, затрагивает узлы Bitcoin, работающие на программном обеспечении Core до версии 25.0. Узлы, которые не обновлены по крайней мере до версии 25.0, позволяют злоумышленнику удаленно эксплуатировать утверждение в логике программного обеспечения, которое обрабатывает сообщения транзакций блоков (‘blocktxn’).

В частности, уязвимость исходит из протокола компактного блока Core, который использует сокращенные идентификаторы транзакций для снижения использования пропускной способности интернета. Злоумышленник может вызвать коллизию в этих идентификаторах, заставив узел запросить полный блок.

Хотя запрос полного, несокращенного блока является мерой предосторожности, версии программного обеспечения до 25.0 имеют изъян в логике обработки последующих сообщений blocktxn. Короче говоря, узел может быть принудительно переведен в недопустимое состояние путем манипулирования логическими вентилями, что приведет к его полному краху.

Подробнее: Разработчики Bitcoin наконец признали серьезные ошибки в программном обеспечении Core

Ошибка исправлена ​​в мае 2023 года, но Bitcoin Core не обновляется автоматически

Заслуга в обнаружении и раскрытии уязвимости принадлежит Никласу Гёгге, который также предоставил исправление, реализованное в Bitcoin Core v25.0. Он исправил эту ошибку в запросе на извлечение Bitcoin Core номер 26898, и другие разработчики объединили его с производством к 26 мая 2023 года.

Согласно самопровозглашенным значениям, объявленным доступными через интернет узлами, отслеживаемыми BitNodes.io, 13,7% из 18 843 узлов, работающих в сети Bitcoin, уязвимы для атаки. Разработчики призывают всех операторов узлов обновить свое программное обеспечение, чтобы исправить эту уязвимость. Последняя версия программного обеспечения Bitcoin Core — 28.0.

Несмотря на всю серьезность, эта уязвимость не приносит среднестатистическому злоумышленнику значительной финансовой выгоды, поскольку она требует сложных манипуляций с протоколом компактного блока и не позволяет осуществлять двойную трату биткоинов без координации множества других финансовых и социальных инженерных схем.

Тем не менее, это уязвимость системы безопасности, которой может воспользоваться корпоративный или государственный субъект, желающий нарушить работу Bitcoin по причинам, связанным с отсрочкой получения финансовой выгоды.

Раскрытие этой ошибки следует недавней тенденции разработчиков Bitcoin Core раскрывать серьезные уязвимости в старых версиях программного обеспечения. Поскольку программное обеспечение Core не обновляется автоматически по умолчанию, операторы узлов должны вручную выбирать загрузку, проверку и обновление своего программного обеспечения.

Если операторы узлов Bitcoin не обновят свое программное обеспечение, часть сети может оказаться под угрозой отключения.