Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Исследователь два года молчал об уязвимости в Bitcoin в целях безопасности (http://txgate.io:443/showthread.php?t=16336)

Artifact 03-12-2025 01:40 PM

Уязвимость в Bitcoin Core была обнаружена и исправлена в 2018 году, но широкая общественность узнала о ней только сейчас.
https://www.securitylab.ru/upload/ib...0fb496ae4a.jpg
В 2018 году исследователь безопасности Брэйдон Фуллер (Braydon Fuller) обнаружил серьезную уязвимость в Bitcoin Core – ПО, на базе которого работает блокчейн биткойна. Фуллер уведомил разработчиков о проблеме, и они выпустили исправление, однако исследователь решил не сообщать об уязвимости широкой общественности во избежание возможных попыток ее эксплуатации.
Подробности о проблеме были https://invdos.net/только на прошлой неделе, когда эта же уязвимость была обнаружена другим исследователем в другой криптовалюте, базирующейся на старой, неисправленной версии кода протокола Bitcoin.
Уязвимость CVE-2018-17145, получившая название INVDoS, позволяет осуществить классическую атаку отказа в обслуживании (DoS). Злоумышленник может создать особым образом сконфигурированную транзакцию, которая при обработке узлами (серверами) сети Bitcoin может вызвать неконтролируемое потребление памяти сервера, что приведет к аварийному завершению работы системы.
По словам Фуллера, уязвимость очень опасна, поскольку может привести к потере средств или доходов. «Это может произойти из-за потери времени майнинга или расхода электроэнергии, вызванного отключением узлов и задержкой блоков или временным разделением сети. Это также может быть связано с нарушением и задержкой срочных контрактов или запретом экономической деятельности. Это может повлиять на торговлю, биржи, атомные свопы, условное депонирование и платежные каналы HTLC в сети Lightning», - пояснил исследователь.
Помимо узлов сети Bitcoin, работающих на базе Bitcoin Core, INVDoS также затрагивает серверы, работающие на Bcoin и Btcd. Кроме того, уязвимости подвержены криптовалюты Litecoin и Namecoin, базирующиеся на оригинальном протоколе Bitcoin.
Уязвимость была обнаружена повторно исследователем безопасности Джаведом Ханом (Javed Khan) прошлым летом, когда он искал уязвимости в криптовалюте Decred. Хан сообщил о проблеме разработчикам в рамках программы выплаты вознаграждений bug bounty, и в прошлом месяце опубликовал подробности о ней. Полное описание уязвимости было представлено на прошлой неделе, и разработчики криптовалют, базирующихся на старых версиях протокола Bitcoin, могут проверить, затрагивает ли их данная проблема.
Ни Фуллеру, ни Хану не известно о случаях эксплуатации INVDoS в реальных атаках.


All times are GMT. The time now is 03:03 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.