محققان امنیتی یک باگ بزرگ بیت‌کوین را برای جلوگیری از سوءاستفاده دو سال مخفی نگه داشتند

یک محقق امنیتی دو سال پیش باگ بزرگی را در نرم‌‌افزار اصلی بلاک‌چین بیت‌کوین، Bitcoin Core، کشف کرد. پس از گزارش باگ و رفع آسیب‌پذیری‌های مرتبط با آن، باز هم گزارش وجود آسیب‌پذیری منتشر نشد تا از هرگونه سوءاستفاده‌ی مجرمان سایبری جلوگیری شود. اکنون و در سال ۲۰۲۰، جزئیاتی از باگ موسوم به INVDoS منتشر شده است.

رمزارزهای متعددی در دنیای بلاک‌چین از هسته‌ی اصلی بیت‌کوین استفاده می‌کنند. این رمزارزها با تکیه بر امن‌تر بودن بلاک‌چین بیت‌کوین، لایه‌های ابتدایی را با استفاده از Bitcoin Core توسعه می‌دهند. گزارش‌های جدید نشان می‌دهد یک رمزارز که از کد قدیمی بیت‌کوین به‌عنوان لایه‌های اصلی استفاده می‌کند، اکنون در معرض باگی قرار دارد که دو سال پیش کشف و برطرف شد.

باگ INVDoS (مخفف Inventory Out-of-Memory Denial-of-Service) و حمله‌های مرتبط با آن در دسته‌ی باگ‌ها و حمله‌های سنتی DoS قرار می‌گیرد. حمله‌های DoS اغلب کم‌خطر محسوب می‌شوند، اما برای سرویس‌های اینترنتی که نیاز به آنلاین بودن همیشگی دارند، چنین حمله‌ها و آسیب‌پذیری‌های امنیتی، حکم حیاتی بازی می‌کنند.

بریدان فولر، در سال ۲۰۱۸ باگ INVDoS را کشف کرد. او یک مهندس پروتکل بیت‌کوین است که با بررسی روی کدهای اصلی بلاک‌چین این رمزارز، متوجه یک آسیب‌پذیری اساسی شد. فولر متوجه شد که مجرمان می‌توانند با سوءاستفاده از آسیب‌پذیری، تراکنش‌هایی مخرب در شبکه‌ی بیت‌کوین ایجاد کنند. وقتی این تراکنش‌ها در یکی از نودهای بلاک‌چین بیت‌کوین پردازش شوند، منجر به مصرف بیش‌ازحد و خارج از کنترل ظرفیت حافظه‌ی سرور می‌شوند که درنهایت از کار افتادن سیستم را به‌همراه دارد. فولر در گزارش جدید خود نوشت: «زمانی‌که این باگ را پیدا کردم، بیش از ۵۰ درصد از نودهای عمومی بیت‌کوین و بسیاری از ماینرها و صرافی‌ها، از آسیب‌پذیری مرتبط با آن رنج می‌بردند».

نکته‌ی مهم اینکه باگ INVDoS علاوه بر سرورها و نودهایی که از نرم‌افزار Bitcoin Core استفاده می‌کردند، سیستم‌های دیگر را نیز تحت تأثیر می‌گذارد. نودهایی که مجهز به Bcoin یا Btcd بودند نیز از آسیب‌پذیری مذکور در امان نبودند. به‌علاوه، رمزارزهای دیگری که از پروتکل اصلی بیت‌کوین استفاده می‌کردند هم در معرض آسیب‌پذیری بودند. از میان مهم‌ترین آن‌ها می‌توان به Litecoin و Namecoin اشاره کرد.

فولر در بخشی از گزارش خود به سطح خطرناکی باگ اشاره می‌کند که احتمال از دست دادن سرمایه و درآمد را برای نودهای بلاک‌چین به‌همراه داشته است: «حمله‌هایی که با سوءاستفاده از INVDoS انجام می‌شد، توقف درآمد معدن‌کاوی یا افزایش بیش‌ازحد هزینه‌های برق را به‌همراه داشت. همچنین رمزگشایی بلوک‌ها با تأخیر روبه‌رو می‌شد و در برخی موارد هم شاهد پارتیشن شدن موقتی شبکه بودیم. همچنین قراردادهای حساس به زمان هم شاید با تأخیر روبه‌رو می‌شدند و به‌طور کلی فرایند اقتصادی با مشکل روبه‌رو می‌شد. تمامی فرایندهای تجاری، صرافی‌ها، تراکنش‌ها و تبادل رمزارز و شبکه‌ی لایتنینگ و پرداخت‌های HTLC هم با مشکل روبه‌رو می‌شدند».

باگ INVDoS در همان سال ۲۰۱۸ گزارش شد و فعالان شبکه، بسته‌ی امنیتی مرتبط با آن را نصب کردند. در اسناد امنیتی نیز این باگ به‌نام CVE-2018-17145 شناخته می‌شود. اسنادی که در سال ۲۰۱۸ منتشر شد، اطلاعات زیادی از باگ ارائه نمی‌داد تا از هرگونه سوءاستفاده‌ی مجرمان سایبری جلوگیری شود. به‌هرحال، اکنون و پس از گذشت دو سال از شناسایی، مهندس دیگر پروتکل بیت‌کوین به‌نام جاود خان، باگ مشابهی را در رمزارز Decred کشف کرده است.

جاود خان پس از کشف باگ INVDoS در شبکه‌ی رمزارز Decred، آن را به برنامه‌ی شکار باگ گزارش کرد که درنهایت منجر به رفع باگ و انتشار عمومی اطلاعات جزئی شد. اکنون رمزارزهایی که از نسخه‌های قدیمی پروتکل بیت‌کوین استفاده می‌کنند، با بررسی جزئیات باگ می‌توانند سیستم امنیتی خود را تحلیل کرده و درصورت حضور آسیب‌پذیری INVDoS، آن را برطرف کنند. درنهایت محققان امنیتی اعلام کردند که هنوز هیچ نمونه‌ای از سوءاستفاده از باگ INVDoS در ابعاد گسترده کشف نشده است.