Antbleed: объяснение новейшего спора вокруг биткоина

Вчера была обнаружена уязвимость микросхемы для майнинга, которая потенциально может быть использована для удаленного отключения оборудования для майнинга Bitcoin . Вскоре после этого производитель выпустил исправление.

В отношении спорного производителя микросхем для майнинга Bitmain проблема заключается в том, что некоторые называют «бэкдором» в коде, который управляет его оборудованием, предлагая компании способ удаленного отключения майнеров. Поскольку код,выпущен анонимновчера вечером, уязвим для злоумышленников, главная проблема заключается в том, могут ли они, в худшем случае, быть использованы не по назначению.

Существуют опасения, что злоумышленники могут воспользоваться уязвимостью для массового отключения оборудования для майнинга Bitcoin , а поскольку Bitmain поставляет на рынок такое большое количество машин, последствия могут оказаться катастрофическими для экосистемы Bitcoin .

Известная как Antbleed (название, присвоенное веб-сайтом, который драматизировал ее выпуск), уязвимость имеет открытый исходный код, что позволяет легко проверить ее. В преддверии раскрытия информации группе рассказали о функции кода, и некоторые разработчики, такие как генеральный директор Satoshi Labs Марек Палатинуснезависимая проверкачто бэкдор существует и что его можно использовать для остановки майнеров Bitmain при срабатывании триггера.

Bitmain быстроответилс исправлением, которое стирает эту часть его майнинговой прошивки. Кроме того, его команда заявила, что функция так и не была завершена, и что она была предназначена для помощи клиентам в восстановлении украденных майнеров, что было проблемой для отраслевых компаний в прошлом.

В заявлении говорится:

«Мы никогда не намеревались использовать эту функцию на любом Antminer без разрешения его владельца. Это похоже на функцию удаленного стирания или выключения, предоставляемую большинством известных производителей смартфонов».

Большая часть недавних обсуждений в сообществе связана с тем, мог ли так называемый «бэкдор» использоваться в вредоносных целях, например, для отключения майнера, если он T соблюдал правила, установленные Bitmain.

Усугубляет путаницу то, что в последнее время разработки Bitcoin стали крайне политизированными, и Bitmain часто оказывается в центре давних дебатов по масштабированию биткойна, выступая против предложений, разработанных членами сообщества Bitcoin CORE . Например, уязвимость раскрывается следует за обвинениями что производитель использовал Secret преимущество добычи полезных ископаемых для увеличения своей прибыли.

В беседе с CoinDesk главный научный сотрудник Bitcoin Unlimited Питер Ризун, возможно, лучше всего резюмировал проблему и окружающую атмосферу:

«Сегодняшняя драма в социальных сетях разворачивается вокруг вопроса о том, существует ли уязвимость в системе безопасности, которая позволила бы использовать эту функцию удаленного управления в гнусных целях».

Подробности кода

Тем не менее, похоже, есть и другие причины для беспокойства по поводу бэкдора.

Поскольку это может быть использовано злоумышленниками извне компании, майнинговые чипы теперь рассматриваются как риск безопасности для сети. Каждые ONE минут, согласно данным с открытым исходным кодом пластырьПредставленные 12 июля 2016 года, машины отправляют обратные вызовы на сервер Bitmain.

Идея заключается в том, что производитель майнингового оборудования может сканировать идентификационную информацию о майнинговом чипе, включая его серийный номер и IP-адрес.

Однако, пожалуй, наибольшую обеспокоенность вызывает то, что использование кода T ограничивается определенными людьми или компаниями, поэтому его может использовать любой злоумышленник или атаковать с помощью того же DNS-сервера.

«Даже если Bitmain не является вредоносным, API не проходит аутентификацию и позволит любому MITM, DNS или перехвату домена отключить Antminers по всему миру», — говорится на сайте Antbleed, где дополнительно излагаются опасения относительно возможности технического или политического злоупотребления.

Уязвимость или «вредоносный» бэкдор?

Вопрос о том, было ли это намеренно сделано со злым умыслом или нет, по-видимому, составляет основную часть окружающих дебатов, и до сих пор настроения, похоже, разделились в направлении дебатов о масштабировании.

Тем не менее, некоторые откололись от так называемой партийной линии.

«С их стороны было безрассудством оставлять незавершенную функцию в коде, поскольку это представляет собой серьезную проблему безопасности», — сказал Генри Брэйд, генеральный директор поставщика Bitcoin услуг Prasos, в прошлом выступавший за масштабирование предложений Bitcoin Core.

«Однако, исходя из заявления, неверно называть Antbleed вредоносным по своей природе. Это просто серьезная проблема безопасности».

Оператор F2pool Ван Чунь также отметил, что он T особенно обеспокоен тем, что майнеры в его пуле могут стать жертвами манипуляций со стороны Bitmain. В разговоре с CoinDesk он отметил, что, похоже, компания никогда T использовала его для отключения майнеров.

«Они могли это делать долгое время, но T сделали этого», — сказал он.

Гай Корем, бывший генеральный директор израильского Maker микросхем для майнинга Spondoolies-Tech, объяснил спор «некомпетентностью» и «халатностью», а не злым умыслом.

«Понятно, что они хотели разработать такую ​​функцию, и также понятно, что они T завершили ее и отказались от нее», — добавил он. Далее он сослался на Spondoolies-Tech собственные прошлые проблемыс украденным горнодобывающим оборудованием.

Тем не менее, некоторые в сообществескептически настроенный изОтвет Bitmain.

«Отрицание со стороны многих людей невероятно. Antbleed — это не баг и не ошибка. Цель кода ясна: отключить майнер при удаленном флаге», — написал Палатинус в Twitter.

Публичная информация?

Другие высказывают опасения, что эта уязвимость станет достоянием общественности, поскольку посторонние могут воспользоваться вектором атаки.

Участник проекта Bitcoin CORE Мэтт Коралло утверждает, что владельцам этих майнеров Bitcoin необходимо знать о потенциальной уязвимости, чтобы устранить ее.

«Проблема в том, что эта технология уже интегрирована во TON развернутого оборудования», — сказал он, добавив:

«Bitmain получила сообщение об ошибке несколько месяцев назад, и их клиенты должны знать об этом, чтобы защитить свои операции от потенциальных [атак типа «человек посередине»]».

Впервые о проблеме было сообщено Bitmain на Githubhttps://github.com/bitmaintech/bmminer/issues/7 в сентябре 2016 года.

ONE вопрос в том, насколько распространена эта практика в Bitcoin. Secret бэкдоры кажутся обычным делом в мире Технологии , часто привлекая критиков, озабоченных безопасностью, по мере их обнаружения. Есть ли у других производителей оборудования та же уязвимость? По крайней мере, два производителя майнинга утверждают, что у них ее T.

«Наше оборудование T [имеет] подобных проблем, мы [T] предлагаем удаленное обновление прошивки — решение о том, обновлять ее или нет, остается за клиентом», — заявил ИТ-директор блокчейн-стартапа Bitfury Group Алекс Петров.

«У моего майнера нет ASICBoost или бэкдора», — рассказал CoinDesk Джек Ляо, генеральный директор майнинговой компании LightningAsic.

Наряду с подробностями о бэкдоре, те, кто его обнаружил, выпустили патч, который закрывает его с помощью одной строки кода.

Централизация горнодобывающей промышленности

Тем не менее, существуют опасения, что эта уязвимость выдает слабость сети Bitcoin , а именно, отсутствие производителей чипов для майнинга.

Точных данных о том, сколько майнеров используют это программное обеспечение, нет, но Bitmain является ONE из крупнейших производителей чипов в этой отрасли: по более смелым оценкам, на его долю приходится 70% всех чипов для майнинга.

Тот факт, что бэкдор может быть использован для воздействия на любой из этих чипов, неудивительно вызывает тревогу у сторонников «децентрализации» сети и ее открытости для конкуренции, что позволит различным субъектам участвовать в ней.

На данный момент, по всей видимости, Bitmain предпримет действия по проверке оставшейся части своей кодовой базы с целью выявления других уязвимостей.

«Споры вокруг этого кода заставили нас задуматься об улучшении дизайна с целью устранения уязвимостей, на которые недавно указало сообщество», — говорится в заявлении.

Однако другие сетуют на драматизм и дискуссии вокруг этой проблемы, отмечая, как быстро она стала политизированной.

Ризун подытожил:

«В целом это просто еще один день для Bitcoin».

Изображение черезСайт AntBleed