De volta 2018, especialista e engenheiro de segurança cibernética Braydon Fuller descobriu um bug perigoso no Bitcoin Core (versões 0.16.0 e 0.16.1). O problema apareceu em 2017 e foi nomeado INVDoS. Pouco depois da descoberta, CVE-2018-17145 foi eliminado silenciosamente, e Fuller manteve sua descoberta em segredo por dois anos, temendo atividade de invasores que possam estar interessados no bug.
No entanto, agora os detalhes técnicos da vulnerabilidade foram tornados públicos, já que o problema foi redescoberto por outros especialistas e ameaçou outra criptomoeda baseada na versão antiga do código Bitcoin.
“O problema INVDoS é essencialmente um clássico problema de negação de serviço (DoS) ataque. E embora os ataques DoS sejam muitas vezes praticamente inofensivos, eles podem representar uma séria ameaça aos sistemas acessíveis pela Internet que processam transações e devem ser estáveis e confiáveis”., – disse Braydon Fuller.
Fuller descobriu que um invasor pode gerar transações especiais, cujo processamento pelos nós pode levar a “desperdício descontrolado de recursos”, e, em última análise, a uma falha completa do sistema vulnerável.
O pesquisador lembra que na época em que o bug foi descoberto, mais do que 50% dos nós Bitcoin eram vulneráveis ao INVDoS e, provavelmente, muitos mineradores e exchanges. Além disso, não apenas nós Bitcoin trabalhando com Bitcoin Core, mas também nós que trabalham com Bcoin e Btcd, e outras criptomoedas baseadas no protocolo Bitcoin original, incluindo Litecoin e Namecoin, estavam em risco.
O investigador escreve que a exploração deste problema pode levar à perda de fundos ou rendimentos:
“[Dano] pode ter sido devido à perda de tempo de mineração ou consumo de energia devido a desligamentos de nós, bloquear atrasos ou separação temporária da rede. Poderá também causar interrupções e atrasos nos contratos a termo ou prejudicar a atividade económica. [Emitir] pode afetar o comércio, trocas, trocas atômicas, canais de pagamento de depósito e HTLC na Lightning Network.”
Como acima mencionado, em 2020 a vulnerabilidade foi redescoberta por outro especialista em segurança da informação. O problema foi “encontrado novamente” pelo desenvolvedor do protocolo Handshake, Javed Khan, quando ele estava procurando vulnerabilidades na criptomoeda Decred.
Khan relatou oficialmente sobre o bug nas estruturas do programa de recompensas e eventualmente o tornou público. Agora as informações detalhadas sobre o bug estão publicadas em um site especial.
Deixe-me lembrá-lo disso SWIFT diz que dinheiro raramente é lavado com criptomoedas.
