Wysoce krytyczna luka w Bitcoin Core 24.0.1 i wcześniejszych wersjach wpływa na 17% pełnych węzłów

20 września deweloperzy Bitcoin Core wydali nowe ostrzeżenie o wysokim ryzyku dotyczące luki w oprogramowaniu w jednym na sześć węzłów Bitcoin, jak donosi Protos. W czwartek pracownicy projektu open-source Bitcoin Core, który odpowiada za utrzymanie oprogramowania działającego na ponad 98 procentach dostępnych pełnych węzłów, ujawnili, że oprogramowanie działające na 17 procentach węzłów sieci ma poważne problemy z bezpieczeństwem. Konkretnie, całe oprogramowanie poniżej wersji Bitcoin Core 24.0.1 jest zagrożone. Według szacunków monitoringu Bitnodes, luka w zabezpieczeniach typu denial-of-service dotyczy około 3 330 z 19 200 samookreślonych agentów użytkowników dostępnych węzłów Bitcoin Complete.

W oprogramowaniu Bitcoin Core przed wersją 24.0.1 złośliwi aktorzy mogli używać łańcuchów nagłówków o niskiej trudności do spamowania węzłów. Wymuszając na węzłach pobieranie i przechowywanie niezwykle długich łańcuchów nagłówków, atak mógł spowodować awarię węzła poprzez zajęcie zbyt dużej przepustowości lub przestrzeni dyskowej urządzenia. Deweloperzy naprawili tę lukę w Bitcoin Core pull request (PR) numer 25717 i włączyli ją do produkcji 12 grudnia 2022 roku wraz z wydaniem v24.0.1. Obecna wersja oprogramowania węzła Bitcoin Core (obecnie 27.1) zawiera poprawki dla tej i innych luk.

Chociaż ta luka jest dość poważna, istnieje bardzo niewiele znanych przypadków ataków w publicznych rejestrach, które wykorzystują tę lukę. Ponieważ koszt generowania i nadawania łańcucha nagłówków bloków w celu przeprowadzenia ataku typu denial-of-service jest dość wysoki, ta luka nie jest zbyt interesująca finansowo dla atakujących.