Два года исследователь и инженер по протоколам Bitcoin Брейдон Фуллер хранил в тайне обнаруженную им уязвимость, которая получила название INVDoS. Он боялся, что хакеры, узнав о ней, смогут украсть биткоины на десятки миллионов долларов.

Обнаружил и исправил

Уязвимость блокчейн Биткоин, получившая название  INVDoS, представляет собой классическую атаку типа отказ в обслуживании (DoS). Хотя во многих случаях DoS-атаки безвредны, они могут нанести серьезный вред для доступных через интернет систем, которые должны иметь стабильное время безотказной работы для обработки транзакций.

INVDoS был обнаружен в 2018 году Брейдоном Фуллером, инженером по протоколу биткойнов. Он выявил, что злоумышленник может создавать искаженные биткоин-транзакции, которые при обработке узлами цепочки биткоинов приводят к неконтролируемому потреблению ресурсов памяти сервера, что в конечном итоге приводит к сбою пораженных систем.

«На момент обнаружения проблемы под угрозой находились более 50% публично рекламируемых узлов биткоин с входящим трафиком и, вероятно, большинство майнеров и бирж», – написал Фуллер в своем исследовании.

Кроме того, INVDoS затронул не только узлы блокчейн биткоин, на которых запущено программное обеспечение Bitcoin Core, но и ноды  на которых работают  Bcoin  и  Btcd. Под угрозой оказались также и другие криптовалюты, созданные на протоколе Биткоин: Litecoin и Namecoin.

Главная опасность состояла в том, что хакеры могли воспользоваться уязвимостью системы и вывести хранящиеся на кошельках монеты.

«Это могло произойти из-за потери времени майнинга или расхода электроэнергии из-за отключения узлов и задержки блоков или из-за временного разделения сети», – пояснил Фуллер.

Сам Фуллер исправил ошибку еще два года назад, то сообщил об этом только летом текущего года, когда уязвимость была вновь обнаружена другим специалистом – Джаведом Ханом. Хан сообщил об ошибке в программу вознаграждения за ошибки Decred, и в конце концов, в прошлом месяце она была раскрыта всему миру.

Сеть биткоин остается уязвимой

Атака INVDoS – не единственная проблема блокчейн биткоин. Ранее BeInCrypto сообщал, что ученые Еврейского университета в Иерусалиме Джона Харриса и Авива Зохара выявили новую уязвимость сети Биткоин, которую используют мошенники для кражи криптомонет. В своей статье они описывают новую системную атаку, связанную с расширением Lightning Network, которая может использоваться кибер-преступниками для кражи биткоинов.

Расширение Lightning Network имеет доступ к цепочке блоков и может быть использовано мошенниками для кражи криптомонет, но до сих пор никто не проводил достаточно глубинных исследований этой проблемы. В результате Харрис и Зохар первыми провели эксперимент и попытались вывести биткоины во время перегрузки сети.

Еще одна проблема, с которой могут столкнуться пользователи сети Биткоин, связана с двойным расходованием. Новая угроза, которая получила название BigSpender , позволяет злоумышленникам отменить транзакцию биткоина, которую банки не смогут идентифицировать. Основная проблема, лежащая в основе уязвимости BigSpender, заключается в том, что уязвимые кошельки не готовы к тому, что транзакция может быть отменена, и предполагают, что она будет в конечном итоге подтверждена. В результате злоумышленники могут создавать и отменять десятки транзакций.

Как ранее заявлял сторонник BCH Хейден Отто, технику двойного расхода облегчает функция RBF (замена на плату), добавленная на уровне протокола разработчиками Bitcoin Core.

«Проблема существует, если вы используете BTC. Программное обеспечение кошелька только проводит транзакции, пытаясь защитить пользователей ВТС от негативных последствий», – заявил он.