Уязвимость, которая более двух лет угрожала пользователям блокчейна биткоина, наконец-то закрыли разработчики. Для этого внепланово выпустили релиз клиента Bitcoin Core
Об уязвимости в коде разработчикам сообщил анонимный пользователь. Багу присвоили код CVE-2018−1744. Теоретически он позволял нарушить работу почти 90% нод.
Найти и эксплуатировать уязвимость было непросто. К счастью, никто не успел этого сделать.
Проблема в коде давала возможность осуществить DOS-атаку на сеть при попытке валидировать блок, содержащий транзакцию, которая пытается дважды потратить один и тот же вход. Блок оказался бы недействительным, а значит, его могли бы создать только майнеры, готовые отказаться от 12.5 BTC. Это размер награды, которую майнеры сейчас получают за найденный блок, около 80 тыс. долларов по текущему курсу.
Эксперты отметили, что уязвимость является результатом так называемого человеческого фактора. Ответственность за неё несут те разработчики, которые одобрили советующее изменение кода: Грегори Максвелл, Владимир ван дер Лаан и Мэтт Коралло и др.
Разработчики рассказали, что движок The Fast Internet Bitcoin Relay Engine (FIBRE), встроенный в Bitcoin Core и предназначенный для ускорения распространения блоков,
мог бы усугубить ситуацию. Операторам нод нужно срочно обновить программное обеспечение до новой версии Bitcoin Core или до новой версии BitcoinABC для сети Bitcoin Cash.
Клиент Bitcoin Unlimited уязвимость не затронула. Разработчики Litecoin (форка биткоина) также выпустили фикс.