Les développeurs de Bitcoin CORE s'efforcent de corriger un bug logiciel de déni de service

Un bug anormalement grave a été découvert dans le logiciel de Bitcoin, ce qui a incité les développeurs à élaborer et à publier un correctif mardi.

Corrigée et révélée au grand public grâce à la version 0.16.3 du logiciel Bitcoin CORE , cette vulnérabilité est un déni de service. Si elle est exploitée, elle peut détruire des nœuds et, au pire, provoquer le blocage temporaire d'un segment important du réseau.

Cependant, tout le monde n'a pas les moyens d'exploiter ce bug. Seuls les mineurs – ceux qui utilisent le matériel et dépensent de l'énergie pour commander des transactions sur le réseau – peuvent exploiter la vulnérabilité en dépensant deux fois une transaction et en la plaçant dans un bloc.

Mais leur exécution n'est pas non plus indolore. S'ils tentent l'attaque, ils perdront leur récompense de blocage, qui vaut plus de 75 000 $ au cours actuel.

La vulnérabilité a été introduite dans la version 0.14.0 de Bitcoin CORE , publiée pour la première fois en mars 2017. Mais le problème T été découvert qu'il y a deux jours seulement, ce qui a incité La rédaction à la base de code à prendre des mesures et à publier un correctif testé dans les 24 heures.

Et heureusement, la plupart des utilisateurs de Bitcoin T rien à faire pour être protégés de cette vulnérabilité désormais.

Les développeurs ont souligné que les bitcoins « stockés » ne sont pas menacés. Cependant, cela pourrait avoir un impact sur les utilisateurs.le réseau Lightning, une couche de transaction en cours de développement qui vise à permettre des transactions plus rapides et moins chères.

Cependant, étant donné que le bug est potentiellement dangereux pour le réseau, les développeurs conseillent vivement aux utilisateurs qui exécutent des « nœuds complets » qui stockent l'historique complet des transactions Bitcoin de mettre à niveau leur logiciel. Le modérateur Theymos a également épinglé un avis en haut de la page.subreddit Bitcoin.

Les notes de Bitcoin CORE décrivant le correctif logiciel État:

« Nous exhortons tous les participants du réseau à effectuer la mise à niveau vers [le nouveau logiciel] dès que possible. »

Impact de la foudre

Il s’avère qu’une citation populaire dans les cercles technologiques s’applique parfaitement à ce type de bug.

« Un système distribué est un ONE dans lequel la panne d'un ordinateur dont vous T l'existence peut rendre votre propre ordinateur inutilisable », a déclaré le célèbre informaticien Leslie Lamport.

Dans ce cas précis, une transaction erronée effectuée par un mineur peut impacter les nœuds du réseau. Comme indiqué dans Bitcoin OpTechbulletin, un mineur devrait essayer de dépenser deux fois plus de Bitcoin pour faire planter les nœuds Bitcoin .

Le code de Bitcoin est configuré en grande partie pour se protéger contre ce genre de problème, mais ce bug montre comment un moyen de contourner de telles mesures a réussi à s'infiltrer.

L'impact le plus important concerne peut-être les Technologies liées au bitcoin, qui ne sont T prêtes à être déployées. Si cette attaque était menée à bien, les utilisateurs de Bitcoin utilisant Lightning sur le réseau principal pourraient être impactés.

« Si vous êtes assez imprudent pour utiliser Lightning, vous devriez vraiment mettre à jour votre système au plus vite, ou fermer vos canaux. Heureusement, la mise à jour est assez simple », a conseillé Gregory Sanders, ingénieur chez Blockstream.sur reddit.

Lightning étant encore à ses débuts, les utilisateurs doivent surveiller leurs « canaux », qui contiennent leurs bitcoins dans la couche expérimentale. Ainsi, ils peuvent bloquer un utilisateur avec lequel ils ont établi un canal s'il tente de tricher. Un point particulièrement important est toutefois : si le nœud d'un utilisateur est planté par un mineur exploitant ce bug, un acteur malveillant pourrait en profiter pour tromper d'autres utilisateurs de Lightning.

Malgré cela, certains développeurs affirment qu’il serait assez difficile de réussir à réaliser tout cela.

« Je trouve très peu probable que cela ait un impact important », a déclaré le développeur Justin Camarena à CoinDesk.

C'est pourquoi certains affirment que les utilisateurs réguliers n'ont T à s'en inquiéter, même s'il existe un sentiment général d'urgence compte tenu du risque global.

« À moins que vous ne dirigiez une entreprise ou un nœud de réseau Lightning, vous n'avez vraiment aucun fonds en jeu », a ajouté Sanders plus tard.

Conclusions erronées

Il reste cependant difficile de déterminer l’importance de ce bug dans le contexte de l’histoire du Bitcoin.

Antoine Le Calvez, ingénieur données Blockchain.info comptabiliséune liste d'exploits similaires réalisés au fil des ans, montrant qu'ils étaient plus courants dans les premières années du bitcoin.

Mais Luke Dashjr, contributeur de Bitcoin CORE, a répondu en affirmant que les exploits pourraient ne pas diminuer au fil du temps comme le suggèrent les données.

« Malheureusement, je pense que ces dernières années souffrent d'un manque de Déclaration de transparence plutôt que d'une diminution des exploits », a-t-il déclaré. dit.

Il a ensuite admis qu'il ne savait T pourquoi c'était le cas, mais il a néanmoins soutenu que certains bugs dans le logiciel Bitcoin sont trouvés et corrigés, mais ne sont jamais divulgués publiquement.

Pendant ce temps, d'autres tirent d'autres conclusions du bug, à savoir que les programmeurs Bitcoin sont de simples mortels. Chris Pacia, développeur principal d'OpenBazaar, est allé jusqu'à affirmer que si de nombreux utilisateurs affirment que les développeurs Bitcoin sont parmi les meilleurs au monde, cela prouve qu'il s'agit en réalité de développeurs ordinaires confrontés à des obstacles.

« Les insectes arrivent. C'est une réalité », dit-il.remarqué sur TwitterJe ne les critique pas pour avoir un bug. Je critique les minimalistes idiots qui insistent sur le fait que les développeurs CORE sont des individus quasi divins.

Cependant, Camarena pense qu'en raison des nuances du bug et de la difficulté d'exécution de l'attaque, les gens en font trop de cas.

Il a déclaré à CoinDesk:

« C’est un bug sérieux, mais pas aussi grave que certains le font croire. »

TV sans signalimage via Shutterstock