Разработчики рассказали о серьезной уязвимости биткоина, исправленной 2 года назад

CoinDesk. О проблеме сообщил разработчик сервиса для осуществления покупок с помощью криптовалют Purse Брейдон Фуллер, обнаруживший ее в июне 2018 года. Уязвимость была оценена в 7,8 баллов по шкале от 1 до 10, то есть считается «высокоуровневой», тогда как значения выше 9 соответствуют «критической». Как пояснил разработчик протокола Handshake Джавед Хан, проблема заключалась в неспособности удаленных нод ликвидировать недействительные транзакции из памяти. В результате злоумышленник мог перегрузить такую ноду бесполезными данными и осуществить «бесконтрольное расходование ресурсов», конечным итогом которого стало бы отключение ноды. По словам Хана, уязвимость могла позволить злоумышленникам украсть средства, хранение которых осуществлялось с помощью нод, имевших открытые подключения к Lightning Network. Фуллер и Хан не обнаружили попыток использовать ее на практике. Раньше они не могли сообщить о ней публично, так как обновление нод заняло больше времени, чем предполагалось изначально. Впервые проблема появилась в релизе Bitcoin Core в ноябре 2017 года, из-за чего в зоне риска оказалось около 50% нод биткоина. Она содержится в клиентах версий 0.16.0 и 0.16.1 и была исправлена разработчиком Мэттом Коралло после поступления информации от Фуллера. Впоследствии был найден еще один баг, который удалось устранить в версии 0.16.3. Согласно разработчикам, атака также могла быть проведена на некоторые другие имплементации ПО биткоина и его ответвления, включая Bitcoin Knots, Bcoin, Btcd, Litecoin Core, Namecoin Core и Dcrd. Во всех из них проблема была решена.