Un bogue de gravité “ élevée ” dans le logiciel Bitcoin révélé 2 ans après la correction

Must Read

Le projet VeChain s’associe à Salesforce et le prix de l’EFP est affecté.

Les partenariats et la coopération entre les entreprises fintech conduisent souvent à la prospérité des entreprises partenaires et...

Le prix de la monnaie numérique Ripple XRP a augmenté de plus de 30% au cours des dernières 24 heures … pour ces raisons!

XRP, la pièce originale du projet Ripple, a bondi de 40% au cours des dernières heures. Lorsque le prix...

Meilleures pièces de financement DeFi hors de l’espace Ethereum au premier trimestre 2021

La finance décentralisée (DeFi) continue d'afficher des performances exceptionnelles en 2021. L'expansion et l'émergence de nouveaux projets ne se...

Une vulnérabilité précédemment non divulguée dans le logiciel Bitcoin Core aurait pu permettre aux attaquants de voler des fonds, de retarder les règlements ou de diviser le plus grand réseau de blockchain en versions conflictuelles s’il n’avait pas été discrètement corrigé il y a deux ans.

C’est selon un article publié mercredi par Braydon Fuller, ingénieur de protocole sur le site de crypto-shopping Purse, qui a découvert la vulnérabilité en juin 2018, et Javed Khan, un développeur principal du protocole Handshake.

La vulnérabilité a reçu un niveau de gravité de 7,8 sur une échelle de 1 à 10, ce qui est jugé «élevé» (9 ou plus est considéré comme «critique»). Cela a été causé par le fait que des «nœuds distants» n’ont pas réussi à effacer les transactions invalides de leur mémoire, a déclaré Khan à CoinDesk.

L’incapacité à effacer ces transactions pourrait conduire un agresseur à inonder un nœud victime de données périmées dans ce que l’on appelle une «consommation de ressources incontrôlée», provoquant finalement l’arrêt du nœud, déclare le journal.

Lire la suite: La dernière version du code Bitcoin Core protège contre les attaques des États-nations

«Il n’y avait aucun mécanisme pour s’assurer que les détails en attente d’une transaction sont valides ou non. Dans certains cas, vous pourriez remplir la mémoire distante avec des transactions invalides », a déclaré Khan.

Aucune tentative de profiter du trou n’a été trouvée dans la nature, ont écrit Khan et Fuller. La vulnérabilité n’a pas pu être divulguée publiquement pendant plus de deux ans car les opérateurs de nœuds ont mis plus de temps que prévu à se mettre à jour, a déclaré Fuller.

Bien que la vulnérabilité ait été corrigée, sa divulgation met en évidence les difficultés de construction d’une norme monétaire mondiale sur les langages de programmation créés par des humains, sans parler des obstacles techniques élevés à l’engagement dans le développement de la principale crypto-monnaie.

La vulnérabilité a été introduite dans Bitcoin Core en novembre 2017. Environ 50% des nœuds Bitcoin à l’époque étaient exposés au vecteur d’attaque, selon le journal. Les versions antérieures de Bitcoin Core n’étaient pas affectées.

Bitcoin Core et plus

Khan a en outre déclaré que la vulnérabilité aurait pu permettre à un attaquant de voler des fonds à des nœuds qui avaient des canaux ouverts sur le Lightning Network, un système de paiement expérimental construit sur la blockchain Bitcoin.

Les versions 0.16.0 et 0.16.1 de Bitcoin Core ont été affectées et corrigées par le développeur Matt Corallo à la suite de la divulgation de Fuller à l’équipe principale en juillet 2018. Corallo n’a pas répondu aux questions demandant des commentaires au moment de la presse.

La découverte de Fuller (qui a également travaillé en tant que développeur principal du protocole de stockage décentralisé dans le cloud Storj) a été suivie d’un autre bogue Bitcoin résolu deux mois plus tard dans Bitcoin Core 0.16.3. Également vecteur d’une attaque par déni de service, un aspect de ce bug permettait aux mineurs de «gonfler l’offre de Bitcoin» car ils pouvaient doubler certaines valeurs, a écrit l’équipe Bitcoin Core à l’époque.

Le correctif d’urgence publié dans cette version de Bitcoin Core corrigeait également le bogue de Fuller, ont écrit Khan et Fuller.

Une place était réservée à la vulnérabilité de consommation des ressources dans le registre CVE (Common Vulnerabilities and Exposures) de l’Institut national des normes et de la technologie sous la référence CVE-2018-17145 en 2018, mais elle n’a pas encore été remplie. Le registre sert de glossaire public pour les bogues logiciels importants.

Bitcoin Core est l’implémentation de référence, ou version standard du logiciel réseau dont d’autres sont dérivés. Selon l’article, l’exploit était également possible sur plusieurs autres implémentations de Bitcoin et de ses ramifications:

  • Bitcoin Knots v0.16.0
  • Toutes les versions bêta de Bcoin jusqu’à la v1.0.0-pre
  • Toutes les versions de Btcd jusqu’à la v0.20.1-beta
  • Litecoin Core v0.16.0
  • Namecoin Core v0.16.1
  • Toutes les versions de Dcrd jusqu’à la v1.5.1.

Toutes ces implémentations ont été corrigées.

MISE À JOUR (9 septembre, 13h30 UTC): Ajout d’un lien vers le journal et d’une affiliation d’entreprise plus à jour pour Braydon Fuller.

Divulgation

Chef de file de l’actualité blockchain, CoinDesk est un média qui s’efforce de respecter les normes journalistiques les plus élevées et qui respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -

Latest News

Le projet VeChain s’associe à Salesforce et le prix de l’EFP est affecté.

Les partenariats et la coopération entre les entreprises fintech conduisent souvent à la prospérité des entreprises partenaires et...

Le prix de la monnaie numérique Ripple XRP a augmenté de plus de 30% au cours des dernières 24 heures … pour ces raisons!

XRP, la pièce originale du projet Ripple, a bondi de 40% au cours des dernières heures. Lorsque le prix de la monnaie est passé...

Meilleures pièces de financement DeFi hors de l’espace Ethereum au premier trimestre 2021

La finance décentralisée (DeFi) continue d'afficher des performances exceptionnelles en 2021. L'expansion et l'émergence de nouveaux projets ne se limitaient pas à la blockchain...

Rapport: 11% des entreprises en Espagne utilisent la technologie blockchain

L'utilisation des technologies décentralisées est en augmentation en Espagne. Nous ne parlons pas ici uniquement des crypto-monnaies mais de la technologie blockchain en général,...

Une fuite récente sur Facebook peut vous faire regretter d’aimer les pages de crypto-monnaie

La principale préoccupation des entreprises technologiques et des entreprises de cryptographie est une préoccupation de sécurité et des opérations frauduleuses. La récente fuite de...
- Advertisement -

More Articles Like This