Un bogue de gravité “ élevée ” dans le logiciel Bitcoin révélé 2 ans après la correction

Must Read

Le maire de Miami tente les mineurs chinois de bitcoins avec de l’énergie nucléaire bon marché

Après les actions menées par de nombreuses provinces chinoises envers les mineurs de Bitcoin, de nombreux mineurs chinois...

Kraken pourrait devenir public d’ici 18 mois

Le PDG Jesse Powell a déclaré que l'échange "fait tout le travail de préparation" pour devenir une...

Marquer les pertes cubaines après un crash symbolique à 100%

Le jeton Iron Titanium (TITAN) est passé de 64,19 $ à près de 0 $ après une...

Une vulnérabilité précédemment non divulguée dans le logiciel Bitcoin Core aurait pu permettre aux attaquants de voler des fonds, de retarder les règlements ou de diviser le plus grand réseau de blockchain en versions conflictuelles s’il n’avait pas été discrètement corrigé il y a deux ans.

C’est selon un article publié mercredi par Braydon Fuller, ingénieur de protocole sur le site de crypto-shopping Purse, qui a découvert la vulnérabilité en juin 2018, et Javed Khan, un développeur principal du protocole Handshake.

La vulnérabilité a reçu un niveau de gravité de 7,8 sur une échelle de 1 à 10, ce qui est jugé «élevé» (9 ou plus est considéré comme «critique»). Cela a été causé par le fait que des «nœuds distants» n’ont pas réussi à effacer les transactions invalides de leur mémoire, a déclaré Khan à CoinDesk.

L’incapacité à effacer ces transactions pourrait conduire un agresseur à inonder un nœud victime de données périmées dans ce que l’on appelle une «consommation de ressources incontrôlée», provoquant finalement l’arrêt du nœud, déclare le journal.

Lire la suite: La dernière version du code Bitcoin Core protège contre les attaques des États-nations

«Il n’y avait aucun mécanisme pour s’assurer que les détails en attente d’une transaction sont valides ou non. Dans certains cas, vous pourriez remplir la mémoire distante avec des transactions invalides », a déclaré Khan.

Aucune tentative de profiter du trou n’a été trouvée dans la nature, ont écrit Khan et Fuller. La vulnérabilité n’a pas pu être divulguée publiquement pendant plus de deux ans car les opérateurs de nœuds ont mis plus de temps que prévu à se mettre à jour, a déclaré Fuller.

Bien que la vulnérabilité ait été corrigée, sa divulgation met en évidence les difficultés de construction d’une norme monétaire mondiale sur les langages de programmation créés par des humains, sans parler des obstacles techniques élevés à l’engagement dans le développement de la principale crypto-monnaie.

La vulnérabilité a été introduite dans Bitcoin Core en novembre 2017. Environ 50% des nœuds Bitcoin à l’époque étaient exposés au vecteur d’attaque, selon le journal. Les versions antérieures de Bitcoin Core n’étaient pas affectées.

Bitcoin Core et plus

Khan a en outre déclaré que la vulnérabilité aurait pu permettre à un attaquant de voler des fonds à des nœuds qui avaient des canaux ouverts sur le Lightning Network, un système de paiement expérimental construit sur la blockchain Bitcoin.

Les versions 0.16.0 et 0.16.1 de Bitcoin Core ont été affectées et corrigées par le développeur Matt Corallo à la suite de la divulgation de Fuller à l’équipe principale en juillet 2018. Corallo n’a pas répondu aux questions demandant des commentaires au moment de la presse.

La découverte de Fuller (qui a également travaillé en tant que développeur principal du protocole de stockage décentralisé dans le cloud Storj) a été suivie d’un autre bogue Bitcoin résolu deux mois plus tard dans Bitcoin Core 0.16.3. Également vecteur d’une attaque par déni de service, un aspect de ce bug permettait aux mineurs de «gonfler l’offre de Bitcoin» car ils pouvaient doubler certaines valeurs, a écrit l’équipe Bitcoin Core à l’époque.

Le correctif d’urgence publié dans cette version de Bitcoin Core corrigeait également le bogue de Fuller, ont écrit Khan et Fuller.

Une place était réservée à la vulnérabilité de consommation des ressources dans le registre CVE (Common Vulnerabilities and Exposures) de l’Institut national des normes et de la technologie sous la référence CVE-2018-17145 en 2018, mais elle n’a pas encore été remplie. Le registre sert de glossaire public pour les bogues logiciels importants.

Bitcoin Core est l’implémentation de référence, ou version standard du logiciel réseau dont d’autres sont dérivés. Selon l’article, l’exploit était également possible sur plusieurs autres implémentations de Bitcoin et de ses ramifications:

  • Bitcoin Knots v0.16.0
  • Toutes les versions bêta de Bcoin jusqu’à la v1.0.0-pre
  • Toutes les versions de Btcd jusqu’à la v0.20.1-beta
  • Litecoin Core v0.16.0
  • Namecoin Core v0.16.1
  • Toutes les versions de Dcrd jusqu’à la v1.5.1.

Toutes ces implémentations ont été corrigées.

MISE À JOUR (9 septembre, 13h30 UTC): Ajout d’un lien vers le journal et d’une affiliation d’entreprise plus à jour pour Braydon Fuller.

Divulgation

Chef de file de l’actualité blockchain, CoinDesk est un média qui s’efforce de respecter les normes journalistiques les plus élevées et qui respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest News

Le maire de Miami tente les mineurs chinois de bitcoins avec de l’énergie nucléaire bon marché

Après les actions menées par de nombreuses provinces chinoises envers les mineurs de Bitcoin, de nombreux mineurs chinois...

Kraken pourrait devenir public d’ici 18 mois

Le PDG Jesse Powell a déclaré que l'échange "fait tout le travail de préparation" pour devenir une entreprise publique Deux mois seulement après...

Marquer les pertes cubaines après un crash symbolique à 100%

Le jeton Iron Titanium (TITAN) est passé de 64,19 $ à près de 0 $ après une vente massive. L'investisseur milliardaire Mark Cuban...

Binance lance le contrat perpétuel Bitcoin Dominance, BTCDOM

Binance a lancé son nouveau contrat perpétuel Bitcoin Dominance, BTCDOM Le contrat BTCDOM aura un effet de levier maximum de 25x et utilisera Tether...

Le chauffeur de Nascar Landon Cassill recevra son salaire en Litecoin (LTC)

Le pilote de Nascar Landon Cassill recevra l'intégralité de son paiement en Litecoin (LTC) M. Cassill sera le premier pilote Nascar à être payé...
- Advertisement -

More Articles Like This