محققان امنیتی یک باگ بزرگ بیتکوین را برای جلوگیری از سوءاستفاده دو سال مخفی نگه داشتند
یک محقق امنیتی دو سال پیش باگ بزرگی را در نرمافزار اصلی بلاکچین بیتکوین، Bitcoin Core، کشف کرد. پس از گزارش باگ و رفع آسیبپذیریهای مرتبط با آن، باز هم گزارش وجود آسیبپذیری منتشر نشد تا از هرگونه سوءاستفادهی مجرمان سایبری جلوگیری شود. اکنون و در سال ۲۰۲۰، جزئیاتی از باگ موسوم به INVDoS منتشر شده است.
رمزارزهای متعددی در دنیای بلاکچین از هستهی اصلی بیتکوین استفاده میکنند. این رمزارزها با تکیه بر امنتر بودن بلاکچین بیتکوین، لایههای ابتدایی را با استفاده از Bitcoin Core توسعه میدهند. گزارشهای جدید نشان میدهد یک رمزارز که از کد قدیمی بیتکوین بهعنوان لایههای اصلی استفاده میکند، اکنون در معرض باگی قرار دارد که دو سال پیش کشف و برطرف شد.
باگ INVDoS (مخفف Inventory Out-of-Memory Denial-of-Service) و حملههای مرتبط با آن در دستهی باگها و حملههای سنتی DoS قرار میگیرد. حملههای DoS اغلب کمخطر محسوب میشوند، اما برای سرویسهای اینترنتی که نیاز به آنلاین بودن همیشگی دارند، چنین حملهها و آسیبپذیریهای امنیتی، حکم حیاتی بازی میکنند.
باگ مذکور مجددا در رمزارزهایی که از کد قدیمی بیتکوین استفاده میکنند رویت شد
بریدان فولر، در سال ۲۰۱۸ باگ INVDoS را کشف کرد. او یک مهندس پروتکل بیتکوین است که با بررسی روی کدهای اصلی بلاکچین این رمزارز، متوجه یک آسیبپذیری اساسی شد. فولر متوجه شد که مجرمان میتوانند با سوءاستفاده از آسیبپذیری، تراکنشهایی مخرب در شبکهی بیتکوین ایجاد کنند. وقتی این تراکنشها در یکی از نودهای بلاکچین بیتکوین پردازش شوند، منجر به مصرف بیشازحد و خارج از کنترل ظرفیت حافظهی سرور میشوند که درنهایت از کار افتادن سیستم را بههمراه دارد. فولر در گزارش جدید خود نوشت: «زمانیکه این باگ را پیدا کردم، بیش از ۵۰ درصد از نودهای عمومی بیتکوین و بسیاری از ماینرها و صرافیها، از آسیبپذیری مرتبط با آن رنج میبردند».
نکتهی مهم اینکه باگ INVDoS علاوه بر سرورها و نودهایی که از نرمافزار Bitcoin Core استفاده میکردند، سیستمهای دیگر را نیز تحت تأثیر میگذارد. نودهایی که مجهز به Bcoin یا Btcd بودند نیز از آسیبپذیری مذکور در امان نبودند. بهعلاوه، رمزارزهای دیگری که از پروتکل اصلی بیتکوین استفاده میکردند هم در معرض آسیبپذیری بودند. از میان مهمترین آنها میتوان به Litecoin و Namecoin اشاره کرد.
فولر در بخشی از گزارش خود به سطح خطرناکی باگ اشاره میکند که احتمال از دست دادن سرمایه و درآمد را برای نودهای بلاکچین بههمراه داشته است: «حملههایی که با سوءاستفاده از INVDoS انجام میشد، توقف درآمد معدنکاوی یا افزایش بیشازحد هزینههای برق را بههمراه داشت. همچنین رمزگشایی بلوکها با تأخیر روبهرو میشد و در برخی موارد هم شاهد پارتیشن شدن موقتی شبکه بودیم. همچنین قراردادهای حساس به زمان هم شاید با تأخیر روبهرو میشدند و بهطور کلی فرایند اقتصادی با مشکل روبهرو میشد. تمامی فرایندهای تجاری، صرافیها، تراکنشها و تبادل رمزارز و شبکهی لایتنینگ و پرداختهای HTLC هم با مشکل روبهرو میشدند».
باگ INVDoS در همان سال ۲۰۱۸ گزارش شد و فعالان شبکه، بستهی امنیتی مرتبط با آن را نصب کردند. در اسناد امنیتی نیز این باگ بهنام CVE-2018-17145 شناخته میشود. اسنادی که در سال ۲۰۱۸ منتشر شد، اطلاعات زیادی از باگ ارائه نمیداد تا از هرگونه سوءاستفادهی مجرمان سایبری جلوگیری شود. بههرحال، اکنون و پس از گذشت دو سال از شناسایی، مهندس دیگر پروتکل بیتکوین بهنام جاود خان، باگ مشابهی را در رمزارز Decred کشف کرده است.
جاود خان پس از کشف باگ INVDoS در شبکهی رمزارز Decred، آن را به برنامهی شکار باگ گزارش کرد که درنهایت منجر به رفع باگ و انتشار عمومی اطلاعات جزئی شد. اکنون رمزارزهایی که از نسخههای قدیمی پروتکل بیتکوین استفاده میکنند، با بررسی جزئیات باگ میتوانند سیستم امنیتی خود را تحلیل کرده و درصورت حضور آسیبپذیری INVDoS، آن را برطرف کنند. درنهایت محققان امنیتی اعلام کردند که هنوز هیچ نمونهای از سوءاستفاده از باگ INVDoS در ابعاد گسترده کشف نشده است.