Een kwetsbaarheid in het Bitcoin-netwerk – nu vast – zou ertoe kunnen hebben geleid dat hele systemen van knooppunten werden afgesloten. Gelukkig hebben hackers nooit gebruik gemaakt van de bug.

In het kort

  • Ontwikkelaars ontdekten een bug in de Bitcoin-blokketen in 2018.
  • De bug kan ertoe leiden dat hackers hele netwerken afsluiten.
  • Ontwikkelaars herontdekten de bug in een aantal andere blokkades dit jaar en publiceerden een artikel over hun bevindingen.

Twee Bitcoin-technici hebben verschillende kwetsbaarheden ontdekt die blokkades kunnen opheffen – twee jaar nadat ze dachten dat ze het probleem hadden opgelapt.

Bitcoin-ingenieurs Braydon Fuller en Javed Khan hebben de kwetsbaarheid, INVDoS genaamd, op de Bitcoin-blokketen in 2018 gerepareerd, maar hebben deze week een onderzoeksverslag gepubliceerd waarin ze in detail beschrijven hoe ze het in een aantal andere blokketen-iteraties hebben gevonden: Btcd en Decred.

De aanval werkt als volgt: een vijandige blockchain node – een lid van het blockchain netwerk dat transacties valideert – stuurt een andere door ze te spammen met oproepen voor niet-bestaande transacties.

Als gevolg daarvan zou de node overweldigd worden en zou zijn geheugen „eindeloos groeien„, zo schreven de onderzoekers. „Dit zal het proces crashen en mogelijk het proces en de computer bevriezen totdat het proces wordt beëindigd.

De ingenieurs zeiden in het rapport dat de kwetsbaarheid, bekend als een „denial-of-service“ aanval, „gemakkelijk exploiteerbaar“ was door hackers en gebruikt kon worden om een heel netwerk van Bitcoin-knooppunten te laten crashen. Dit zou kunnen leiden tot een vertraging in de verwerking van transacties, wat op zijn beurt een „verlies van fondsen of inkomsten“ zou kunnen veroorzaken,“ aldus het rapport.

In juni 2020 merkte Khan op dat de oude aanval van toepassing was op Btcd, een alternatieve Bitcoin-blokkerknoop die zijn gebruikers geen betalingen laat versturen of ontvangen. Een maand later ontdekte Khan de kwetsbaarheid in een ander blokketennetwerk, Decred.

Khan, samen met andere blockchain-engineers, rolde eind augustus fixes uit op de kwetsbaarheden. Gelukkig is er geen sprake van een bekende uitbuiting van deze kwetsbaarheid in het wild,“ schreven Fuller en Khan in het rapport.

In feite is zo’n uitschakeling van een netwerk al jaren niet meer gebeurd. „Voor het Bitcoin-netwerk zijn er slechts twee kwetsbaarheden geweest die tot dergelijke stilstand hebben geleid, en die zijn er sinds 2013 niet meer geweest„, aldus het rapport.

Ontwikkelaars van sleutelloze cryptocurrency portemonnee ZenGo publiceerde vandaag een rapport waarin ze een kwetsbaarheid voor dubbele-uitgaven aanvallen, genaamd „BigSpender,“ ontdekten in portemonnees zoals Ledger .

Toch is de kwetsbaarheid vrij groot, in ieder geval in zijn potentieel. In 2018 had meer dan 50% van de „publiekelijk geadverteerde Bitcoin-knooppunten met inkomend verkeer, en waarschijnlijk een meerderheid van de mijnwerkers en de beurzen“ de kwetsbaarheid en liepen ze het risico op aanvallen, aldus het rapport.

De Litecoin en Namecoin blokkades waren ook in gevaar, voegde het rapport toe. Terwijl het rapport toevoegde was het onwaarschijnlijk dat de kwetsbaarheid hackers had kunnen helpen om Bitcoin te stelen, middelen van het Lightning Network – een protocol om Bitcoin-transacties sneller te verwerken – zijn mogelijk in gevaar geweest.

Miners en exchanges die oudere versies van Bitcoin-software draaien kunnen nog steeds risico’s lopen, maar de meeste mensen die nodes draaien zullen de meest up-to-date software hebben, voegden de ontwikkelaars toe. „U bent waarschijnlijk al beschermd. Zorg er anders voor dat u een upgrade uitvoert“, aldus het rapport.