Vulnerabilidade poderia ter derrubado a rede Bitcoin por US$ 80.000

Vulnerabilidade poderia ter derrubado a rede Bitcoin por US$ 80.000

By Melissa Eggersman - min. de leitura
Atualizado 02 junho 2020

Por menos de US $ 80.000, mineradores mal intencionados poderiam ter derrubado a rede Bitcoin. Vulnerabilidade foi corrigida nesta terça-feira na versão 0.16.3 do Bitcoin Core.

Na última terça-feira (18), o Bitcoin Core, cliente responsável por 95% dos usuários que usam nós Bitcoin, lançou em comunicado de imprensa, uma atualização do protocolo para a versão 0.16.3, corrigindo uma vulnerabilidade encontrada no software. A vulnerabilidade permitia que um minerador malicioso criasse um bloco contendo uma transação de gasto duplo. Ao ser enviado para a rede bitcoin, o bloco derrubaria o software dos usuário que o recebessem.

O bug faria com que esses nós fossem mortos, ao invés de simplesmente rejeitar o bloco como inválido, como se esperava. Como a transação seria enviada para inúmeros nós, a rede provavelmente seria momentaneamente derrubada. Como consequência, uma onda de pânico poderia ter sido causada até que a comunidade colocasse o sistema de volta no ar.

Para realizar esse ataque, o minerador malicioso perderia sua recompensa pela criação do bloco envenenado -12,5 Bitcoin (BTC) ou cerca de US $ 80.000, no momento da redação deste artigo. De acordo com motherboad, o professor de ciência da computação na Cornell University, Emin Gün Sirer, disse:

 “Isso é menos dinheiro do que muitas entidades pagariam por um ataque de 0 dia em muitos sistemas. Há muitas pessoas motivadas como essas, e elas poderiam ter derrubado a rede. ”

O bug  descrito como  “ muito assustador ” e “ importante ” por grandes nomes da comunidade, não estava no protocolo Bitcoin em si, mas na implementação de um ano atrás do software mais popular, o Bitcoin Core. Alguns forks do Bitcoin Core também foram afetadas – por exemplo, a Litecoin corrigiu a mesma vulnerabilidade na terça-feira.

Ataque 51%

A exploração dessa vulnerabilidade, conhecida como CVE-2018-17144 ou ataque de negação de serviços (DDoS)  teria como consequência a paralisação das transações e da rede, mas não seria possível roubar os fundos dos usuários ou manipular as carteiras. Apesar dos fundos dos usuários não estivessem em risco, um invasor poderia usar essa vulnerabilidade para realizar um ataque de 51% e manipular transações para obter ganhos financeiros.

De acordo com o Crypto51, sob circunstâncias normais, atualmente custa cerca de US $ 450.000 para montar um ataque de 51% por uma hora, mas ao explorar esse bug, um invasor poderia reduzir esse custo para um valor menor e mais factível. O uso de diversas versões do protocolo também seria uma boa boa de mitigar essa vulnerabilidade.

Versão 0.16.3

A versão 0.16.3 elimina a falha, permitindo que o software rejeite silenciosamente esses blocos inválidos, isolando o minerador malicioso, sem provocar qualquer dano a rede.

A vulnerabilidade de negação de serviço foi descoberta nas versões 0.14.0 até 0.16.2 do Bitcoin Core. Então, se você utiliza qualquer uma dessas versões, recomenda-se atualizar para a versão 0.16.3 o mais rápido possível. A nova versão está disponível para vários sistemas operacionais que usam o kernel do Linux, macOS 10.8+, Windows Vista e versões posteriores. Para maiores informações sobre a atualização para versão 0.16.3 do Bitcoin Core, acesse: https://bitcoincore.org/bin/bitcoin-core-0.16.3/