Fehler ‚hoher‘ Schweregrad in Bitcoin-Software

admin

Fehler ‚hoher‘ Schweregrad in Bitcoin-Software 2 Jahre nach Fehlerbehebung aufgedeckt

Eine zuvor unentdeckte Schwachstelle in der Bitcoin Core-Software hätte es Angreifern ermöglichen können, Gelder zu stehlen, Siedlungen zu verzögern oder das größte Blockketten-Netzwerk laut Bitcoin Code in widersprüchliche Versionen aufzuteilen, wenn es nicht vor zwei Jahren still und leise gepatcht worden wäre.

Das geht aus einem am Mittwoch veröffentlichten Papier von Braydon Fuller, einem Protokoll-Ingenieur der Krypto-Shopping-Site Purse, der die Schwachstelle im Juni 2018 entdeckt hat, und Javed Khan, einem Kernentwickler des Handshake-Protokolls, hervor.

Die Schwachstelle wurde mit einem Schweregrad von 7,8 auf einer Skala von 1 bis 10 eingestuft, was als „hoch“ gilt (9 oder höher gilt als „kritisch“). Sie wurde dadurch verursacht, dass „entfernte Knoten“ ungültige Transaktionen nicht aus ihrem Speicher löschen konnten, sagte Khan gegenüber CoinDesk.

Die Unfähigkeit, diese Transaktionen zu löschen, könnte dazu führen, dass ein Angreifer einen Opferknoten mit veralteten Daten im sogenannten „unkontrollierten Ressourcenverbrauch“ überschwemmt, was schließlich zur Abschaltung des Knotens führen könnte, heißt es in dem Papier.

„Es gab keinen Mechanismus, um sicherzustellen, dass die ausstehenden Details einer Transaktion gültig sind oder nicht. In bestimmten Fällen konnte man den entfernten Speicher mit ungültigen Transaktionen auffüllen“, sagte Khan.

In der freien Wildbahn wurde kein Versuch gefunden, die Lücke auszunutzen, schrieben Khan und Fuller. Die Schwachstelle konnte mehr als zwei Jahre lang nicht öffentlich bekannt gegeben werden, da die Knotenpunktbetreiber länger als erwartet brauchten, um zu aktualisieren, sagte Fuller.

Zwar sei die Schwachstelle behoben worden, doch ihre Offenlegung mache die Schwierigkeiten deutlich, einen globalen Geldstandard für von Menschen geschaffene Programmiersprachen zu schaffen, ganz zu schweigen von den hohen technischen Hürden, die der Entwicklung der Top-Kryptowährung im Wege stünden.

Die Schwachstelle wurde im November 2017 in Bitcoin Core eingeführt. Dem Papier zufolge waren damals etwa 50 % der Bitcoin-Knoten dem Angriffsvektor ausgesetzt. Frühere Versionen von Bitcoin Core waren nicht betroffen.
Bitcoin Core und mehr

Khan sagte weiter, dass die Schwachstelle es einem Angreifer ermöglicht haben könnte, Gelder von Knotenpunkten zu stehlen, die offene Kanäle im Lightning Network, einem experimentellen Zahlungssystem, das auf der Bitcoin-Blockkette aufbaut, hatten.

Die Bitcoin Core-Versionen 0.16.0 und 0.16.1 waren betroffen und wurden von dem Entwickler Matt Corallo gepatcht, nachdem Fuller im Juli 2018 gegenüber dem Kernteam offengelegt worden war. Corallo beantwortete keine Fragen, die bis zum Redaktionsschluss kommentiert werden sollten.

Auf die Entdeckung von Fuller (der auch als leitender Entwickler beim dezentralisierten Cloud-Storage-Protokoll Storj gearbeitet hat) folgte ein weiterer Bitcoin-Fehler, der zwei Monate später in Bitcoin Core 0.16.3 behoben wurde. Auch ein Vektor für einen Denial-of-Service-Angriff, ein Aspekt dieses Bugs ermöglichte es den Bergarbeitern, „den Vorrat an Bitcoin aufzublasen“, da sie bestimmte Werte doppelt ausgeben konnten, schrieb das Bitcoin Core-Team damals.

Der Notfall-Patch, der in dieser Bitcoin Core-Version herausgegeben wurde, behandelte auch Fullers Fehler, schrieben Khan und Fuller

Für die Schwachstelle des Ressourcenverbrauchs wurde 2018 ein Platz im CVE-Register (Common Vulnerabilities and Exposures) des National Institute of Standards and Technology als CVE-2018-17145 reserviert, der jedoch noch ausgefüllt werden muss. Das Register dient als öffentliches Glossar für bemerkenswerte Software-Fehler.

Bitcoin Core ist die Referenzimplementierung oder Standardversion der Netzwerksoftware, von der andere abgeleitet sind. Dem Papier zufolge war die Ausnutzung auch bei mehreren anderen Implementierungen laut Bitcoin Code von Bitcoin und seinen Ablegern möglich:

  • Bitcoin-Knoten v0.16.0
  • Alle Beta-Versionen von Bcoin bis zu v1.0.0-pre
  • Alle Versionen von Btcd bis zu v0.20.1-beta
  • Litecoin-Kern v0.16.0
  • Namecoin-Kern v0.16.1
  • Alle Versionen von Dcrd bis zu v1.5.1.
Next Post

El etéreo fractal del 2019 dice que el 2020 podría estar en la cima de la criptografía

El etéreo está en un momento crucial, lo hace o lo rompe. Mientras que Bitcoin ha establecido un mínimo más alto, el máximo del Etéreo implica que las cosas son mucho más alentadoras para el Altcoin. Pero, ¿podría un fractal que coincidiera con la trayectoria de la cripta de 2019 […]

Subscribe US Now