باگ خطرناک بیت‌کوین که دو سال مخفی مانده بود!

نزدیک به دو سال پیش یک محقق امنیتی توانست یک آسیب‌پذیری در «هسته بیت کوین» کشف کند، اما اخیرا جزئیات مربوط به آن را منتشر کرده است. باگ امنیتی INVDoS در شبکه‌ی بیت‌کوین به مجرمان امکان می‌داد تا نودهای شبکه را با اختلال روبه‌رو کنند. این باگ در بلاک‌چین‌های دیگر هم وجود داشت.

یک محقق امنیتی دو سال پیش باگ بزرگی را در نرم‌‌افزار اصلی بلاک‌چین بیت‌کوین، Bitcoin Core، کشف کرد. پس از گزارش باگ و رفع آسیب‌پذیری‌های مرتبط با آن، باز هم گزارش وجود آسیب‌پذیری منتشر نشد تا از هرگونه سوءاستفاده‌ی مجرمان سایبری جلوگیری شود. اکنون و در سال ۲۰۲۰، جزئیاتی از باگ موسوم به INVDoS منتشر شده است.

رمزارزهای متعددی در دنیای بلاک‌چین از هسته‌ی اصلی بیت‌کوین استفاده می‌کنند. این رمزارزها با تکیه بر امن‌تر بودن بلاک‌چین بیت‌کوین، لایه‌های ابتدایی را با استفاده از Bitcoin Core توسعه می‌دهند. گزارش‌های جدید نشان می‌دهد یک رمزارز که از کد قدیمی بیت‌کوین به‌عنوان لایه‌های اصلی استفاده می‌کند، اکنون در معرض باگی قرار دارد که دو سال پیش کشف و برطرف شد.

این آسیب‌پذیری با نام «INVDoS» یک نمونه از حمله کلاسیک محروم‌سازی از سرویس (DoS) است. در حالی که در اکثر مواقع حملات DoS بی‌خطر هستند، برای سیستم‌های قابل دسترس به اینترنت که برای انجام فرایند تراکنش‌ها به زمان فعالیت پایدار نیاز دارند، دردساز می‌شوند.

باگ INVDoS بیت کوین

در سال ۲۰۱۸ INVDoS توسط یک مهندس پروتکل بیت کوین، «بریدون فولر» شناسایی شد. فولر به این موضوع پی برد که مهاجم می‌تواند معاملات بیت کوین ناقص ایجاد کند که در صورت پردازش توسط نودهای بلاکچین بیت‌ کوین، منجر به مصرف بی‌رویه و بدون کنترل منابع حافظه سرور می‌شود و در نهایت سیستم‌های تحت تاثیر را خراب می‌کند.

فولر در یادداشتی اعلام کرده:

«در زمان شناسایی بیش از ۵۰ درصد از نودهای عمومی بیت‌کوین و اغلب صرافی‌ها و ماینرها دچار باگ مرتبط با آن بودند.»

این باگ تنها در بیت کوین وجود نداشت بلکه ارزهای دیجیتال دیگری مانند «لایت کوین» و «نیم کوین» که بر پایه پروتکل اصلی و اولیه بیت کوین توسعه پیدا کرده بودند نیز تحت تاثیر آن قرار گرفتند. به گفته فولر، این باگ خطرناک بود چرا که می‌توانست منجر به از دست دادن بودجه یا درآمد شود.


باگ INVDoS در همان سال ۲۰۱۸ گزارش شد و فعالان شبکه، بسته‌ی امنیتی مرتبط با آن را نصب کردند. در اسناد امنیتی نیز این باگ به‌نام CVE-2018-17145 شناخته می‌شود. اسنادی که در سال ۲۰۱۸ منتشر شد، اطلاعات زیادی از باگ ارائه نمی‌داد تا از هرگونه سوءاستفاده‌ی مجرمان سایبری جلوگیری شود. به‌هرحال، اکنون و پس از گذشت دو سال از شناسایی، مهندس دیگر پروتکل بیت‌کوین به‌نام جاود خان، باگ مشابهی را در رمزارز Decred کشف کرده است.

بیت کوین

جاود خان پس از کشف باگ INVDoS در شبکه‌ی رمزارز Decred، آن را به برنامه‌ی شکار باگ گزارش کرد که درنهایت منجر به رفع باگ و انتشار عمومی اطلاعات جزئی شد. اکنون رمزارزهایی که از نسخه‌های قدیمی پروتکل بیت‌کوین استفاده می‌کنند، با بررسی جزئیات باگ می‌توانند سیستم امنیتی خود را تحلیل کرده و درصورت حضور آسیب‌پذیری INVDoS، آن را برطرف کنند. درنهایت محققان امنیتی اعلام کردند که هنوز هیچ نمونه‌ای از سوءاستفاده از باگ INVDoS در ابعاد گسترده کشف نشده است.

ممکن است شما دوست داشته باشید
اشتراک
Notify of
guest
0 دیدگاه
بازخورد درون خطی
مشاهده تمام کامنت ها