Bug Bitcoin selama dua tahun

Peneliti menyimpan rahasia bug Bitcoin selama dua tahun untuk mencegah serangan

Pada tahun 2018, seorang peneliti keamanan menemukan kerentanan utama dalam Bitcoin Core, perangkat lunak yang menggerakkan blockchain Bitcoin, tetapi setelah melaporkan masalah dan menambalnya, peneliti memilih untuk merahasiakan detailnya untuk menghindari peretas mengeksploitasi masalah tersebut.

Detail teknis dipublikasikan awal minggu ini setelah kerentanan yang sama ditemukan secara independen di cryptocurrency lain, berdasarkan versi kode Bitcoin yang lebih lama yang belum menerima tambalan.

Serangan Denial-of-Service Inventaris Bitcoin di Luar Memori

Disebut INVDoS, kerentanannya adalah serangan denial-of-service (DoS) klasik. Meskipun dalam banyak kasus, serangan DoS tidak berbahaya, serangan tersebut bukan untuk sistem yang dapat dijangkau internet, yang memerlukan waktu aktif yang stabil untuk memproses transaksi.

INVDoS ditemukan pada tahun 2018 oleh Braydon Fuller, seorang insinyur protokol Bitcoin. Fuller menemukan bahwa penyerang dapat membuat transaksi Bitcoin yang salah format yang, ketika diproses oleh node blockchain Bitcoin, akan menyebabkan konsumsi sumber daya memori server yang tidak terkendali, yang pada akhirnya akan merusak sistem yang terkena dampak.

"Pada saat penemuan, ini mewakili lebih dari 50% node Bitcoin yang diiklankan secara publik dengan lalu lintas masuk, dan kemungkinan mayoritas penambang dan bursa," kata Fuller dalam makalah [PDF] yang diterbitkan pada hari Rabu.

Selain itu, INVDoS juga memengaruhi lebih dari node Bitcoin (server) yang menjalankan perangkat lunak Bitcoin Core. Node Bitcoin yang menjalankan Bcoin dan Btcd juga dipengaruhi oleh bug yang sama.

Cryptocurrency lain yang dibangun di atas protokol Bitcoin asli juga terkena dampak, seperti Litecoin dan Namecoin.

Fuller mengatakan bug itu berbahaya karena bisa "berkontribusi pada hilangnya dana atau pendapatan."

"Ini bisa melalui hilangnya waktu penambangan atau pengeluaran listrik dengan mematikan node dan menunda blok atau menyebabkan jaringan untuk sementara partisi," katanya.

"Bisa juga melalui gangguan dan penundaan kontrak yang sensitif terhadap waktu atau melarang aktivitas ekonomi. Itu dapat mempengaruhi perdagangan, pertukaran, pertukaran atom, escrow dan saluran pembayaran HTLC jaringan kilat," tambah Fuller.

Bug ditemukan kembali dua tahun kemudian

Bug INVDoS dilaporkan ke semua pihak yang bertanggung jawab dan ditambal, pada saat itu, di bawah pengenal umum CVE-2018-17145, yang tidak menyertakan banyak detail, agar tidak memberi tahu penyerang.

Namun, bug yang sama ditemukan kembali selama musim panas oleh Javed Khan, insinyur protokol Bitcoin lainnya, saat berburu bug di cryptocurrency Decred.

Khan melaporkan bug tersebut ke program bounty bug Decred dan akhirnya diungkapkan ke dunia yang lebih luas bulan lalu.

Detail lengkap tentang keseluruhan kerentanan INVDoS telah dipublikasikan awal minggu ini, sehingga cryptocurrency lain yang membuat versi lama dari protokol Bitcoin dapat memeriksa dan melihat apakah mereka terkena dampaknya juga.

"Belum ada eksploitasi yang diketahui dari kerentanan ini di alam liar," kata Fuller dan Khan. "Tidak sejauh yang kami tahu."

Batur Lombok

𝐶𝑜𝑝𝑦𝑟𝑖𝑔ℎ𝑡 𝑎𝑟𝑡𝑖𝑘𝑒𝑙 𝑑𝑎𝑛 𝑔𝑎𝑚𝑏𝑎𝑟 𝑆𝑒𝑏𝑒𝑙𝑢𝑚 𝑎𝑛𝑑𝑎 𝑏𝑒𝑟𝑡𝑖𝑛𝑑𝑎𝑘 𝑙𝑒𝑏𝑖ℎ 𝑗𝑎𝑢ℎ 𝑠𝑎𝑦𝑎 𝑚𝑜ℎ𝑜𝑛 ℎ𝑢𝑏𝑢𝑛𝑔𝑖 𝑘𝑜𝑛𝑡𝑎𝑘 𝑎𝑙𝑡𝑒𝑟𝑛𝑎𝑛𝑡𝑖𝑓 𝑠𝑎𝑦𝑎, 𝑠𝑎𝑦𝑎 𝑎𝑘𝑎𝑛 𝑠𝑒𝑔𝑎𝑛 𝑑𝑎𝑛 𝑏𝑒𝑟𝑠𝑒𝑑𝑖𝑎 𝑚𝑒𝑚𝑏𝑒𝑛𝑎ℎ𝑖 𝑘𝑒𝑠𝑎𝑙𝑎ℎ𝑎𝑛 𝑠𝑎𝑦𝑎 𝑎𝑡𝑎𝑢 𝑚𝑒𝑛𝑔ℎ𝑎𝑝𝑢𝑠 𝑔𝑎𝑚𝑏𝑎𝑟 𝑏𝑒𝑟𝑖𝑠𝑖 𝐶𝑜𝑝𝑦𝑟𝑖𝑔ℎ𝑡 𝑦𝑎𝑛𝑔 𝑚𝑒𝑟𝑢𝑔𝑖𝑘𝑎𝑛 𝐴𝑛𝑑𝑎.ᴇᴍᴀɪʟ ʟᴀɴɢsᴜɴɢ 𝙝𝙖𝙡𝙤@𝙗𝙖𝙩𝙪𝙧𝙡𝙤𝙢𝙗𝙤𝙠.𝙚𝙪.𝙤𝙧𝙜

Adxe

Entah mau ngetik apaan :v

SHARE