Bitcoin : un bug majeur resté deux ans sous silence

Spread the love
Bitcoin : un bug majeur resté deux ans sous silence

En 2018, un chercheur en sécurité a découvert une vulnérabilité majeure dans Bitcoin Core, le logiciel qui alimente la blockchain bitcoin, mais après avoir signalé le problème et l’avoir fait corriger, le chercheur a choisi de garder les détails privés, afin d’éviter que des pirates exploitent ce bug.

Les détails techniques ont été publiés plus tôt cette semaine, lorsque que la même vulnérabilité a été redécouverte indépendamment dans une autre cryptomonnaie, basée sur une ancienne version du code bitcoin qui n’avait pas reçu le patch.

publicité

Déni de service

Nommée “INVDoS”, la vulnérabilité est une attaque classique par déni de service (DoS). Bien que dans de nombreux cas, les attaques par déni de service soient considérées comme peu dangereuses, la situation est différente pour les systèmes accessibles par internet, qui ont besoin d’un temps de fonctionnement stable pour traiter les transactions.

INVDoS a été découverte en 2018 par Braydon Fuller, un ingénieur du protocole bitcoin. Il a découvert qu’un attaquant pouvait créer des transactions bitcoin malformées qui, lorsqu’elles sont traitées par les nœuds de la blockchain Bitcoin, entraînent une consommation excessive des ressources mémoire du serveur, ce qui finit par provoquer un crash des systèmes.

« Au moment de la découverte, les systèmes vulnérables représentaient plus de 50 % des nœuds Bitcoin annoncés publiquement avec un trafic entrant, et probablement une majorité de mineurs et d’exchanges », précise Braydon Fuller dans un article [PDF] publié mercredi dernier.

En outre, INVDoS a également eu un impact plus large que sur les nœuds Bitcoin (serveurs) exécutant le logiciel Bitcoin Core. Les nœuds Bitcoin exécutant Bcoin et Btcd ont également été touchés par le même bug.

D’autres cryptomonnaies qui ont été construites sur le protocole bitcoin original ont également été touchées, comme le Litecoin et le Namecoin. Le chercheur ajoute que le bug est dangereux, car il pourrait « contribuer à une perte de fonds ou de revenus ».

« Cela pourrait se traduire par une perte de temps d’extraction, une dépense d’électricité en fermant des nœuds et en retardant des blocs ou en provoquant la partition temporaire du réseau », détaille-t-il.

« Cela pourrait aussi se traduire par la perturbation et le retard de contrats sensibles au facteur temps ou par l’arrêt d’une activité économique. Cela pourrait affecter le commerce, les transferts, les échanges atomiques (atomic swap, ndlr), les dépôts fiduciaires et les canaux de paiement HTLC du réseau Lightning », insiste-t-il.

Un bug redécouvert deux ans plus tard

Le bug INVDoS a été signalé à tous les responsables et a été corrigé, à l’époque, sous l’identifiant générique CVE-2018-17145, qui ne divulguait pas autant de détails, afin de ne pas alerter les attaquants.

Cependant, le même bug a été redécouvert au cours de l’été par Javed Khan, un autre ingénieur du protocole bitcoin, alors qu’il cherchait les bugs dans la cryptomonnaie Decred.

Javed Khan a signalé le bug au programme de bug bounty Decred et a finalement révélé les détails au monde entier le mois dernier.

Les détails complets sur l’ensemble de la vulnérabilité INVDoS ont été publiés en début de semaine, afin que d’autres cryptomonnaies qui utilisent d’anciennes versions des protocoles bitcoin puissent vérifier et voir si elles sont également impactées.

« Il n’y a pas eu d’exploitation connue de cette vulnérabilité par des attaquants », ont déclaré les deux chercheurs.

Source : ZDNet.com

Leave a Reply