Uma vulnerabilidade não revelada no software Bitcoin Core poderia ter permitido que invasores roubassem fundos, atrasassem liquidações ou bifurcassem o blockchain do Bitcoin em versões conflitantes se ela não tivesse sido discretamente corrigida há dois anos.
Isso ocorreu segundo um artigo publicado na quarta-feira por Braydon Fuller, um engenheiro de protocolo do site de compras de criptomoeda Purse, que detectou a vulnerabilidade de negação de serviço (DDoS) em junho de 2018, e Javed Khan, um desenvolvedor central do protocolo Handshake.
A vulnerabilidade foi atribuída a um nível de gravidade de 7,8 em uma escala de 1 a 10, que é considerada “alta” (9 ou mais é considerada “crítica”). Ela foi causada por “nodes (nós) remotos” que falharam em limpar as transações inválidas de sua memória, explicou Khan ao CoinDesk.
A incapacidade de limpar essas transações podem fazer com que um atacante inunde o node da vítima com dados obsoletos, o que é conhecido como “consumo de recursos não controlado”, fazendo com que o node seja encerrado, afirma o jornal.
Até mesmo as soluções de segunda camada, como a Lightning Network, sistema de pagamentos experimental construído sobre o blockchain do Bitcoin, estavam em risco devido à vulnerabilidade. Os nodes com saldo em BTC não corriam o risco de perder fundos.
“Não havia nenhum mecanismo para garantir que os detalhes pendentes de uma transação seriam válidos ou não. Em certos casos, você poderia encher a memória remota com transações inválidas”, disse Khan.
Nenhuma tentativa de tirar proveito da falha foi encontrada, de acordo com Khan e Fuller. A vulnerabilidade não pôde ser divulgada publicamente por mais de dois anos, pois os operadores de nodes demoraram mais do que o esperado para atualizar, disse Fuller.
Embora a vulnerabilidade tenha sido corrigida, sua divulgação destaca as dificuldades de construir um padrão global de dinheiro em linguagens de programação criadas por humanos, sem mencionar as altas barreiras técnicas para se engajar no desenvolvimento do Bitcoin.
A vulnerabilidade foi introduzida ao Bitcoin Core em novembro de 2017. Cerca de 50% dos nodes de Bitcoin na época estavam expostos ao vetor de ataque, de acordo com o jornal. As versões anteriores do Bitcoin Core não foram afetadas.
Bitcoin Core é a implementação de referência do Bitcoin, cerca de 97% dos nodes da rede rodam essa versão do código. Mas de acordo com o jornal, várias outras implementações do Bitcoin também estavam expostas ao bug.