Fehler mit hohem Schweregrad in der Bitcoin-Software 2 Jahre nach der Korrektur

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Eine zuvor unbekannte Sicherheitslücke in der Bitcoin Core-Software hätte es Angreifern ermöglichen können, Gelder zu stehlen, Abrechnungen zu verzögern oder das größte Blockchain-Netzwerk in widersprüchliche Versionen aufzuteilen, wenn es nicht vor zwei Jahren stillschweigend gepatcht worden wäre.

Dies geht aus einem Artikel hervor, der am Mittwoch von Braydon Fuller, einem Protokollingenieur der Crypto-Shopping-Site Purse, der die Sicherheitslücke im Juni 2018 entdeckt hat, und Javed Khan, einem Hauptentwickler des Handshake-Protokolls, veröffentlicht wurde.

Die Sicherheitsanfälligkeit wurde auf einer Skala von 1 bis 10 mit einem Schweregrad von 7,8 bewertet, der als „hoch“ eingestuft wird (9 oder höher wird als „kritisch“ eingestuft). Dies wurde dadurch verursacht, dass „Remote-Knoten“ ungültige Transaktionen nicht aus ihrem Speicher löschen konnten, sagte Khan gegenüber CoinDesk.

Die Unfähigkeit, diese Transaktionen zu löschen, könnte dazu führen, dass ein Angreifer einen Opferknoten mit veralteten Daten überflutet, was als "unkontrollierter Ressourcenverbrauch" bezeichnet wird, was schließlich dazu führt, dass der Knoten heruntergefahren wird, heißt es in dem Papier.

Lesen Sie mehr: Die neueste Version des Bitcoin-Kerncodes schützt vor Angriffen des Nationalstaats

„Es gab keinen Mechanismus, um sicherzustellen, dass die ausstehenden Details einer Transaktion gültig sind oder nicht. In bestimmten Fällen können Sie den Remote-Speicher mit ungültigen Transaktionen füllen “, sagte Khan.

In freier Wildbahn wurde kein Versuch unternommen, das Loch auszunutzen, schrieben Khan und Fuller. Die Sicherheitsanfälligkeit konnte über zwei Jahre lang nicht öffentlich bekannt gegeben werden, da die Aktualisierung der Knotenbetreiber länger dauerte als erwartet, sagte Fuller.

Während die Sicherheitsanfälligkeit behoben wurde, werden in ihrer Offenlegung die Schwierigkeiten beim Aufbau eines globalen Geldstandards für von Menschen erstellte Programmiersprachen hervorgehoben, ganz zu schweigen von den hohen technischen Hindernissen für die Entwicklung der Top-Kryptowährung.

Die Sicherheitsanfälligkeit wurde im November 2017 in Bitcoin Core eingeführt. Dem Papier zufolge waren zu diesem Zeitpunkt etwa 50% der Bitcoin-Knoten dem Angriffsvektor ausgesetzt. Frühere Versionen von Bitcoin Core waren nicht betroffen.

Bitcoin Core und mehr

Khan sagte weiter, dass die Sicherheitsanfälligkeit es einem Angreifer ermöglicht haben könnte, Geld von Knoten zu stehlen, die offene Kanäle im Lightning Network hatten, einem experimentellen Zahlungssystem, das auf der Bitcoin-Blockchain aufbaut.

Die Bitcoin Core-Versionen 0.16.0 und 0.16.1 wurden vom Entwickler Matt Corallo betroffen und gepatcht, nachdem Fuller sie im Juli 2018 dem Kernteam mitgeteilt hatte. Corallo beantwortete keine Fragen, um einen Kommentar zum Zeitpunkt der Drucklegung zu erhalten.

Auf die Entdeckung von Fuller (der auch als leitender Entwickler beim dezentralen Cloud-Speicherprotokoll Storj gearbeitet hat) folgte ein weiterer Bitcoin-Fehler, der zwei Monate später in Bitcoin Core 0.16.3 behoben wurde. Ein Aspekt dieses Fehlers, der auch ein Vektor für einen Denial-of-Service-Angriff war, ermöglichte es den Bergleuten, „das Angebot an Bitcoin zu erhöhen“, da sie bestimmte Werte doppelt ausgeben konnten, schrieb das Bitcoin Core-Team zu dieser Zeit.

Der in dieser Bitcoin Core-Version veröffentlichte Notfall-Patch befasste sich auch mit Fullers Fehler, schrieben Khan und Fuller.

Ein Platz war für die Sicherheitsanfälligkeit in Bezug auf den Ressourcenverbrauch im CVE-Register (Common Vulnerabilities and Exposures) des National Institute of Standards and Technology (CVE-2018-17145) im Jahr 2018 reserviert, muss jedoch noch ausgefüllt werden. Die Registrierung fungiert als öffentliches Glossar für wichtige Softwarefehler.

Bitcoin Core ist die Referenzimplementierung oder Standardversion der Netzwerksoftware, von der andere abgeleitet sind. Dem Papier zufolge war der Exploit auch bei mehreren anderen Implementierungen von Bitcoin und seinen Ablegern möglich:

  • Bitcoin Knots v0.16.0
  • Alle Beta-Versionen von Bcoin bis v1.0.0-pre
  • Alle Versionen von Btcd bis v0.20.1-beta
  • Litecoin Core v0.16.0
  • Namecoin Core v0.16.1
  • Alle Versionen von Dcrd bis v1.5.1.

Alle diese Implementierungen wurden gepatcht.

UPDATE (9. September, 13:30 UTC): Es wurde ein Link zum Artikel und eine aktuellere Unternehmenszugehörigkeit für Braydon Fuller hinzugefügt.

Offenlegung

CoinDesk ist führend in Blockchain-Nachrichten und ein Medienunternehmen, das nach höchsten journalistischen Standards strebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige operative Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close