A Bitcoin Core-ban talált súlyos hiba a node-ok 17%-át érinti
A Bitcoin Core fejlesztői egy új, magas súlyosságú szoftverhibáról egy figyelmeztetést adtak ki, amely minden hatodik Bitcoin csomópontot érinti.
Csütörtökön a Bitcoin Core projekt fejlesztői a nyílt forráskódú programkódban egy súlyos hibát fedeztek fel. Ez a program fut a node-ok 98%-án. Ez a biztonsági probléma a teljes node hálózat 17%-át érinti. Konkrétan a Bitcoin Core 24.0.1-es verziója előtt kiadott összes szoftververzió veszélyben van. Ez a denial-of-service (szolgáltatásmegtagadási) hiba a Bitnodes becslései szerint az elérhető Bitcoin csomópontok teljes 19 200 tagjából körülbelül 3330-at érint.
A 24.0.1 előtti Bitcoin Core szoftverben egy rosszindulatú szereplő alacsony nehézségű fejlécláncokkal spamelheti a csomópontokat. Azáltal, hogy a csomópontokat rendkívül hosszú fejlécláncok letöltésére és tárolására kényszeríti, a támadás során a node-ok összeomolhatnak, mert túlterheli az eszköz sávszélességét vagy tárhelyét.
A fejlesztők ezt a hibát a 25717-es számú Bitcoin Core pull request (PR) kérésben javították, és 2022. december 12-én a v24.0.1 kiadásával ’bemergelték’ az éles verzióba. A Bitcoin Core csomóponti szoftver jelenlegi, 27.1-es verziója tartalmazza ezt a hibajavítást már.
Bár meglehetősen súlyos hiba, kevés ismert támadás történt. A hiba a támadó számára kevés anyagi előnnyel jár, mivel a szolgáltatásmegtagadás végrehajtásához elég költséges fejléceket generálni és továbbítani.
Mindazonáltal ez egy olyan biztonsági rés, amelyet egy rendkívül gazdag, erős vagy kifinomult szereplő – például egy ország által támogatott hackercsapat kihasználhat, akik ha nem is pénzügyi, de valamilyen más szempontból meg akarja zavarni a Bitcoin működését.
Miért hozzák nyilvánosságra a Bitcoin Core fejlesztők ezeket a hibákat?
Június elején a fejlesztők beleegyeztek, hogy nyilvánosságra hozzák a Bitcoin Core szoftverben lévő súlyos hibákat, amelyeket már legalább 18 hónapja foltoztak. Kezdetben a 20-as és az annál alacsonyabb verziókban lévő hibákat hozták nyilvánosságra. (A kontextus kedvéért: a mai verzió a 27.1.).
Néhány hetente azonban újabb szoftverhibákat hoztak nyilvánosságra. Elismerésükre legyen mondva, hogy ezek a közzétételek az átláthatóság érdekében történtek, és hogy megköszönjék a fejlesztők önkéntes, felelősségteljes munkáját.
A Bitcoin Core fejlesztők átláthatóságra való törekvése, amelyet sokan kezdetben történelmi kuriózumként kezeltek, azonban még napjainkban is a mindennapi működés elve.