Bitcoin ontwikkelaars ontdekken grote kwetsbaarheid in blockchain

Ontwikkelaars ontdekten in 2018 een bug in de Bitcoin blockchain.
De bug had ertoe kunnen leiden dat hackers hele netwerken konden afsluiten. Ontwikkelaars hebben de bug dit jaar in een aantal andere blockchains ontdekt. Hierna hebben ze een artikel met hun bevindingen gepubliceerd.


Rapport gepubliceerd over de bug

De Bitcoin ontwikkelaars genaamd Braydon Fuller en Javed Khan verhielpen de bug, genaamd INVDoS, op de Bitcoin blockchain in 2018. Deze week publiceerden ze een onderzoeksartikel waarin werd beschreven hoe ze het vonden in een aantal andere blockchain iteraties: Btcd en Decred.

De bug werkt als volgt: een vijandige blockchain node overspoelt een andere door ze vol te spammen met oproepen voor niet-bestaande transacties. Hierdoor zou de node overweldigd raken en zou zijn geheugen “eindeloos groeien”, schreven de onderzoekers. “Hierdoor crasht het proces en kan de computer vastlopen totdat het proces is beëindigd.”

De ingenieurs zeiden in het rapport dat de kwetsbaarheid, bekend als een “denial-of-service” aanval, gemakkelijk misbruikt kon worden. Hackers hadden een heel netwerk van nodes kunnen laten crashen. Dit leidt tot een vertraging in de verwerking van transacties, wat op zijn beurt zou kunnen leiden tot “verlies van geld of inkomsten”, aldus het rapport.


Kwetsbaarheid ook in andere blockchain ontdekt

In juni 2020 merkte Khan op dat de oude aanval van toepassing was op Btcd. Dit is een alternatieve Bitcoin blockchain node waarmee gebruikers geen betalingen kunnen verzenden of ontvangen. Een maand later ontdekte Khan de kwetsbaarheid in een ander blockchain netwerk, Decred.

Khan heeft eind augustus, samen met andere blockchain ingenieurs, oplossingen voor de kwetsbaarheden uitgerold. “Er is gelukkig geen bekende uitbuiting van deze kwetsbaarheid”, schreven Fuller en Khan in het rapport.

In feite is zo’n uitschakeling van een netwerk al jaren niet meer gebeurd. “In het Bitcoin-netwerk zijn er slechts twee kwetsbaarheden geweest die tot dergelijke downtime gebeurtenissen hebben geleid. Deze zijn er sinds 2013 al niet meer geweest”, aldus het rapport.


Potentieel grote schade

Toch is de kwetsbaarheid behoorlijk groot, althans in zijn potentieel. In 2018 had meer dan 50% van de “publiekelijk geadverteerde Bitcoin nodes met inkomend verkeer en de meerderheid van de miners” de kwetsbaarheid en liep het risico op aanvallen, aldus het rapport.

De blockchains van Litecoin en Namecoin liepen ook gevaar, volgens het rapport. Het stelde dat het onwaarschijnlijk was dat de kwetsbaarheid hackers had kunnen helpen Bitcoin te stelen. Maar het geld van het Lightning Network – een protocol om Bitcoin transacties sneller te verwerken – liep mogelijk wel gevaar.

Miners en exchanges met oudere versies van Bitcoin software lopen mogelijk nog steeds risico, maar de meeste mensen die nodes gebruiken, zullen de meest up-to-date software hebben, voegden de ontwikkelaars eraan toe. ‘Je bent waarschijnlijk al beschermd. Zorg er anders voor dat je een upgrade uitvoert ”, aldus het rapport.