Une vulnérabilité considérée comme de gravité élevée affectait Bitcoin Core jusqu’en mai 2023. Cette vulnérabilité et deux autres, considérées comme de gravité moyenne, affectaient le projet Bitcoin Core jusqu’à la version 25.0.
La divulgation publique de ces failles et leurs résolutions sont dues à Niklas Gögge, un développeur qui les a annoncées via la liste de diffusion des développeurs Bitcoin.
Le premier, à risque plus élevé, permet aux attaquants de « verrouiller les nœuds Bitcoin Core à distance en déclenchant une assertion dans la logique de gestion des messages ». bloctxn».
Logique de gestion des messages bloctxn fait référence à la manière dont les nœuds du réseau Bitcoin gèrent et traitent les messages contenant les transactions de bloc demandées.
En bref, cette gestion des messages permet de requérir les transactions manquantes dans le bloc le plus récent et de reconstruire des blocs entiers pour garantir leur intégrité sur la chaîne. Cette logique de codage de message Il est crucial d’assurer la synchronisation des nœuds et des données qu’ils contiennent.
L’exploitation de cette vulnérabilité, qui est encore possible dans les versions de Bitcoin Core antérieures à 25.0, a permis aux attaquants de entrer en collision (faire en sorte que deux blocs différents partagent le même identifiant) des nœuds volontairement, intervenir dans la logique de gestion bloctxn .
Les collisions de nœuds ont des conséquences importantes, dont aucune n’implique la possibilité de voler du Bitcoin. Parmi eux, le blocage des nœuds. Les bloquer provoque que le nombre de nœuds actifs diminue, ce qui réduit la décentralisation et la résilience du réseau. À son tour, cela pourrait potentiellement ralentir le réseau.
Deux autres vulnérabilités dans les anciennes versions de Bitcoin Core
Une autre vulnérabilité, celle-ci de gravité moyenne, affectait la propagation des blocs dans la chaîne Bitcoin. Selon Bitcoin Core, avant la version 25.0, « un homologue qui envoyait des blocs mutés pouvait supprimer le statut de téléchargement d’autres homologues qui nous avaient également annoncé le blocage, ce qui rendait difficile la propagation du bloc ».
Le client du nœud Bitcoin affirme que cette vulnérabilité a été corrigée en garantissant qu’un participant ne peut affecter que son propre état de téléchargement de blocet non l’état de téléchargement des autres nœuds. Les blocs mutés sont des blocs invalides contenant des informations modifiées cela ne correspond pas aux transactions qui y sont contenues.
Une troisième erreur, également de gravité moyenne, a provoqué un déni de service dans la propagation des blocs dans la chaîne. Autrement dit, une surcharge de messages d’inventaire est devenue trop importante.
Cela a provoqué (et c’est toujours le cas dans les anciennes versions de Bitcoin Core) une augmentation du temps nécessaire pour trier les messages d’inventaire qui annoncent les transactions vers d’autres nœuds. Cela affectait la capacité des nœuds impliqués à communiquer avec leurs pairs.
Récemment, Bitcoin Core a mis à jour sa politique d’avis de sécurité concernant les vulnérabilités de Bitcoin. Cette différence entre quatre types de vulnérabilités : faible, moyenne, élevée et critique, qui sont révélés de deux semaines à un an après leur découverte.
Comme CriptoNoticias l’a signalé dans cette note, aucune des trois vulnérabilités présentées n’a le statut de risque maximum.
