Gli ingegneri Bitcoin riscoprono l’enorme vulnerabilità della catena a blocchi

Una vulnerabilità nella rete Bitcoin – ora fissa – avrebbe potuto portare allo spegnimento di interi sistemi di nodi. Per fortuna, gli hacker non hanno mai approfittato del bug.

Gli sviluppatori hanno scoperto un bug nella catena di blocco Bitcoin nel 2018

Due ingegneri Bitcoin hanno scoperto diverse vulnerabilità che potrebbero far chiudere le blockchain – due anni dopo aver pensato di aver risolto il problema.

Gli ingegneri della Bitcoin Braydon Fuller e Javed Khan hanno risolto la vulnerabilità, chiamata INVDoS, sulla blockchain Bitcoin System nel 2018, ma questa settimana hanno pubblicato una ricerca che descrive come l’hanno trovata in una serie di altre iterazioni della blockchain: Btcd e Decred.

L’attacco funziona in questo modo: un nodo di blocco ostile – un membro della rete di blockchain che convalida le transazioni – ne inonda un altro inviando loro spam con chiamate per transazioni inesistenti.

Di conseguenza, il nodo sarebbe stato sopraffatto e la sua memoria sarebbe „cresciuta all’infinito“, scrivevano i ricercatori. „Questo bloccherà il processo e potenzialmente congelerà il processo e il computer fino a quando il processo non sarà terminato“.

Gli ingegneri hanno detto nel rapporto che la vulnerabilità, nota come attacco „denial-of-service“, era „facilmente sfruttabile“ dagli hacker e poteva essere usata per far crollare un’intera rete di nodi Bitcoin. Questo potrebbe portare a un ritardo nell’elaborazione delle transazioni, causando a sua volta una „perdita di fondi o di entrate“, ha detto il rapporto.

Nel giugno 2020, Khan ha notato che il vecchio attacco si applicava a Btcd, un nodo a catena di blocco Bitcoin alternativo che non permette ai suoi utenti di inviare o ricevere pagamenti. Un mese dopo, Khan ha scoperto la vulnerabilità in un’altra rete a catena di blocco, Decred.

Khan, in tandem con gli altri ingegneri della blockchain, ha srotolato le correzioni alle vulnerabilità alla fine di agosto. Fortunatamente, „Non è stato possibile sfruttare questa vulnerabilità in natura“, hanno scritto Fuller e Khan nel rapporto.

Il bug potrebbe portare gli hacker a chiudere intere reti

In realtà, un tale arresto di una rete non accadeva da anni.

„Per la rete Bitcoin ci sono state solo due vulnerabilità che hanno portato a tali eventi di downtime, e non ce n’è stata una dal 2013“, ha osservato il rapporto.

Tuttavia, la vulnerabilità è piuttosto massiccia, almeno per quanto riguarda il suo potenziale. Nel 2018, oltre il 50% dei „nodi Bitcoin pubblicizzati pubblicamente con traffico in entrata, e probabilmente la maggioranza dei minatori e degli scambi“ aveva la vulnerabilità ed era a rischio di attacchi, ha dichiarato il rapporto.

Anche le catene di blocco Litecoin e Namecoin erano a rischio, ha aggiunto il rapporto. Mentre il rapporto aggiungeva che era improbabile che la vulnerabilità potesse aiutare gli hacker a rubare Bitcoin, i fondi del Lightning Network – un protocollo per elaborare le transazioni Bitcoin più velocemente – potevano essere a rischio.

I minatori e gli scambi che eseguono versioni più vecchie del software Bitcoin potrebbero essere ancora a rischio, ma la maggior parte delle persone che eseguono i nodi avranno il software più aggiornato, hanno aggiunto gli sviluppatori. „Probabilmente siete già protetti. Altrimenti, assicuratevi di fare l’aggiornamento“, ha detto il rapporto.