O bug do INVDoS teria permitido que os atacantes espatifassem os nós Bitcoin e outras correntes de bloqueio similares.

Em 2018, um pesquisador de segurança descobriu uma grande vulnerabilidade no Bitcoin Core, o software que alimenta a cadeia de bloqueio do Crypto Trader, mas depois de relatar o problema e de tê-lo remendado, o pesquisador optou por manter os detalhes em segredo para evitar que os hackers explorassem o problema.

Detalhes técnicos foram publicados no início desta semana depois que a mesma vulnerabilidade foi descoberta independentemente em outra moeda criptográfica, baseada em uma versão mais antiga do código Bitcoin que não tinha recebido o patch.

Inventário de Bitcoin Ataque de Negação de Serviço fora de Memória

Chamado INVDoS, a vulnerabilidade é um clássico ataque de negação de serviço (DoS). Enquanto em muitos casos, os ataques DoS são inofensivos, eles não são para sistemas acessíveis pela Internet, que precisam ter um tempo de atividade estável para processar transações.

O INVDoS foi descoberto em 2018 por Braydon Fuller, um engenheiro de protocolo Bitcoin. Fuller descobriu que um atacante poderia criar transações Bitcoin malformadas que, quando processadas por nós de cadeia de bloqueio Bitcoin, levariam ao consumo descontrolado dos recursos de memória do servidor, o que acabaria por travar os sistemas impactados.

„Na época da descoberta, isto representava mais de 50% dos nós Bitcoin publicamente anunciados com tráfego de entrada, e provavelmente a maioria dos mineiros e das trocas“, disse Fuller em um artigo [PDF] publicado na quarta-feira.

Além disso, o INVDoS também impactou mais do que os nós Bitcoin (servidores) rodando o software Bitcoin Core. Os nós Bitcoin rodando Bcoin e Btcd também foram impactados pelo mesmo bug.

Outras moedas criptográficas que foram construídas sobre o protocolo Bitcoin original também foram impactadas, tais como Litecoin e Namecoin.

Fuller disse que o bug era perigoso porque podia „contribuir para uma perda de fundos ou receitas“.

„Isto poderia ser através de uma perda de tempo de mineração ou gastos de eletricidade, desligando nós e atrasando blocos ou fazendo com que a rede se divida temporariamente“, disse ele.

„Também poderia ser através da interrupção e atraso de contratos sensíveis ao tempo ou proibindo a atividade econômica“. Isso poderia afetar o comércio, as trocas, as trocas atômicas, as fugas e os canais de pagamento da rede HTLC“, acrescentou Fuller.

Bug redescoberto dois anos mais tarde

O bug INVDoS foi reportado a todos os responsáveis e corrigido, na época, sob o identificador genérico do CVE-2018-17145, que não incluía tantos detalhes, de modo a não alertar os atacantes.

Entretanto, o mesmo bug foi redescoberto durante o verão por Javed Khan, outro engenheiro de protocolo Bitcoin, enquanto caçava bugs na moeda criptográfica Decred.

Khan relatou o bug ao programa de recompensas de bugs Decred e acabou sendo revelado ao mundo em geral no mês passado.

Detalhes completos sobre toda a vulnerabilidade do INVDoS foram publicados no início desta semana, de modo que outras moedas criptográficas que bifurcaram versões mais antigas dos protocolos Bitcoin puderam verificar e ver se elas também foram impactadas.

„Não tem havido uma exploração conhecida desta vulnerabilidade na natureza“, disseram Fuller e Khan. „Tanto quanto sabemos, não“.

Von admin