محققان امنیتی یک باگ بزرگ بیت کوین را برای جلوگیری از سوءاستفاده دو سال مخفی نگه داشتند
یک محقق امنیتی دو سال پیش باگ بزرگی را در نرم افزار اصلی بلاک چین بیت کوین، Bitcoin Core، کشف کرد. پس از گزارش باگ و رفع آسیب پذیری های مرتبط با آن، باز هم گزارش وجود آسیب پذیری منتشر نشد تا از هرگونه سوءاستفاده ی مجرمان سایبری جلوگیری شود. اکنون و در سال 2020، جزئیاتی از باگ موسوم به INVDoS منتشر شده است.
رمزارزهای متعددی در دنیای بلاک چین از هسته ی اصلی بیت کوین استفاده می کنند. این رمزارزها با تکیه بر امن تر بودن بلاک چین بیت کوین، لایه های ابتدایی را با استفاده از Bitcoin Core توسعه می دهند. گزارش های جدید نشان می دهد یک رمزارز که از کد قدیمی بیت کوین به عنوان لایه های اصلی استفاده می کند، اکنون در معرض باگی قرار دارد که دو سال پیش کشف و برطرف شد.
باگ INVDoS (مخفف Inventory Out-of-Memory Denial-of-Service) و حمله های مرتبط با آن در دسته ی باگ ها و حمله های سنتی DoS قرار می گیرد. حمله های DoS اغلب کم خطر محسوب می شوند، اما برای سرویس های اینترنتی که نیاز به آنلاین بودن همیشگی دارند، چنین حمله ها و آسیب پذیری های امنیتی، حکم حیاتی بازی می کنند.
بریدان فولر، در سال 2018 باگ INVDoS را کشف کرد. او یک مهندس پروتکل بیت کوین است که با بررسی روی کدهای اصلی بلاک چین این رمزارز، متوجه یک آسیب پذیری اساسی شد. فولر متوجه شد که مجرمان می توانند با سوءاستفاده از آسیب پذیری، تراکنش هایی مخرب در شبکه ی بیت کوین ایجاد کنند. وقتی این تراکنش ها در یکی از نودهای بلاک چین بیت کوین پردازش شوند، منجر به مصرف بیش ازحد و خارج از کنترل ظرفیت حافظه ی سرور می شوند که درنهایت از کار افتادن سیستم را به همراه دارد. فولر در گزارش جدید خود نوشت: «زمانی که این باگ را پیدا کردم، بیش از 50 درصد از نودهای عمومی بیت کوین و بسیاری از ماینرها و صرافی ها، از آسیب پذیری مرتبط با آن رنج می بردند».
نکته ی مهم اینکه باگ INVDoS علاوه بر سرورها و نودهایی که از نرم افزار Bitcoin Core استفاده می کردند، سیستم های دیگر را نیز تحت تأثیر می گذارد. نودهایی که مجهز به Bcoin یا Btcd بودند نیز از آسیب پذیری مذکور در امان نبودند. به علاوه، رمزارزهای دیگری که از پروتکل اصلی بیت کوین استفاده می کردند هم در معرض آسیب پذیری بودند. از میان مهم ترین آن ها می توان به Litecoin و Namecoin اشاره کرد.
فولر در بخشی از گزارش خود به سطح خطرناکی باگ اشاره می کند که احتمال از دست دادن سرمایه و درآمد را برای نودهای بلاک چین به همراه داشته است: «حمله هایی که با سوءاستفاده از INVDoS انجام می شد، توقف درآمد معدن کاوی یا افزایش بیش ازحد هزینه های برق را به همراه داشت. همچنین رمزگشایی بلوک ها با تأخیر روبه رو می شد و در برخی موارد هم شاهد پارتیشن شدن موقتی شبکه بودیم. همچنین قراردادهای حساس به زمان هم شاید با تأخیر روبه رو می شدند و به طور کلی فرایند اقتصادی با مشکل روبه رو می شد. تمامی فرایندهای تجاری، صرافی ها، تراکنش ها و تبادل رمزارز و شبکه ی لایتنینگ و پرداخت های HTLC هم با مشکل روبه رو می شدند».
باگ INVDoS در همان سال 2018 گزارش شد و فعالان شبکه، بسته ی امنیتی مرتبط با آن را نصب کردند. در اسناد امنیتی نیز این باگ به نام CVE-2018-17145 شناخته می شود. اسنادی که در سال 2018 منتشر شد، اطلاعات زیادی از باگ ارائه نمی داد تا از هرگونه سوءاستفاده ی مجرمان سایبری جلوگیری شود. به هرحال، اکنون و پس از گذشت دو سال از شناسایی، مهندس دیگر پروتکل بیت کوین به نام جاود خان، باگ مشابهی را در رمزارز Decred کشف کرده است.
جاود خان پس از کشف باگ INVDoS در شبکه ی رمزارز Decred، آن را به برنامه ی شکار باگ گزارش کرد که درنهایت منجر به رفع باگ و انتشار عمومی اطلاعات جزئی شد. اکنون رمزارزهایی که از نسخه های قدیمی پروتکل بیت کوین استفاده می کنند، با بررسی جزئیات باگ می توانند سیستم امنیتی خود را تحلیل کرده و درصورت حضور آسیب پذیری INVDoS، آن را برطرف کنند. درنهایت محققان امنیتی اعلام کردند که هنوز هیچ نمونه ای از سوءاستفاده از باگ INVDoS در ابعاد گسترده کشف نشده است.
دسته بندی : سبک زندگی
مقالات مرتبط
- فروش تبلت 7 اینچی توشیبا Thrive با قیمت 377 دلار آغاز شد
- بهترین مداد چشم ضد حساسیت و ضد آب
- هدیه کریسمس سامسونگ به علاقه مندان گجت های خاص
- راهنمای شروع عکاسی منظره برای مبتدی ها
- جنونِ ابدی ورنر هرتزوگ
- فیلسوفی که سر موضع ماند
- ادای احترام بازیگران دنیای سینمایی مارول به چادویک بوزمن
- وانت برقی هرکول آلفا معرفی شد
- اینتل با توسل به نتایج بنچمارک ها درصدد القای برتری توان پردازشی تایگر لیک بر دیگر پردازنده های لپ تاپ است
- آموزش: چگونه کلید Windows صفحه کلید را غیر فعال کنیم
- این خوراکی ها دهانتان را خوشبو می کنند!
- Far Cry VR: Dive Into Insanity یک بازی واقعیت مجازی «براساس موقعیت مکانی» است
- از سلفی می توان برای تشخیص بیماری های قلبی استفاده کرد
- کارشناس ارشد فیزیک با کیک پزی در خانه کسب درآمد می کند
- سنسور تصویر RGBW ویوو، 160 درصد نور بیشتری جذب می کند
- توسعه دهندگان Fall Guys درباره سیستم ضد تقلب این بازی توضیح می دهند
- تنوع ابزارهای اندرویدی به ۳٫۹۹۷ ابزار رسید
- Need for Speed Hot Pursuit Remastered برای عرضه در ماه نوامبر در آمازون لیست شد
- نگاه نزدیک: تبتاپهای سری 5 و 7 سامسونگ: یک گزینه مناسب و با امکانات برای ویندوز 8
- ایمیل هرگز از بین نمیرود! دلیلش را مخترع آن توضیح میدهد
منبع : تیاندا