Обменник

Вчера была обнаружена уязвимость интеллектуального чипа, которая потенциально могла быть использована для удаленного отключения машин для добычи биткойнов, – вскоре после этого исправление от производителя.

Привлечение спорного горна чип производитель Bitmain, проблема это то, что некоторые называют «черный ход» в коде, который контролирует его оборудование, предлагая компаниям возможность удалены отсечные шахтер. Поскольку код, анонимно выпущен последний вечер, уязвим для злоумышленников, основная проблема заключается в том, может ли в худшем случае использовать его неправильно.

Боязнь состоит в том, что плохие акторы могут использовать уязвимость для отказа от оборудования на основе биткойнов в горном деле, а с Bitmain, поставляющим такое большое количество машин на рынок, воздействие может иметь катастрофические последствия для экосистемы биткойнов.

Известный как Antbleed (название, предоставленное веб-сайтом, которое драматизировало его выпуск), уязвимость является открытым исходным кодом, что упрощает ее проверку. Подводя итоги, группа была рассказана о функции кода с некоторыми разработчиками, такими как генеральный директор Satoshi Labs Марек Палатинус независимая проверка что бэкдор существует и что он может быть использован для остановки мишеней Bitmain при запуске.

Быстрое побитие ответил с исправлением, которое стирает эту часть своей микропрограммы. Кроме того, его команда утверждала, что эта функция никогда не заканчивалась и что она призвана помочь клиентам восстановить похищенных шахтеров, прошлую проблему для промышленных фирм.

В заявлении говорится:

«Мы никогда не собирались использовать эту функцию в любом Antminer без разрешения ее владельца. Это похоже на функцию удаленного удаления или выключения, предоставляемую большинством известных производителей смартфонов».

Большая часть недавнего шума в сообществе связана с тем, мог ли описанный «бэкдор» использоваться в злонамеренных целях, например, для отключения шахтера, если он не соблюдает правила, установленные Bitmain.

Добавление к путанице в том, что биткойнские разработки были в высшей степени политизированы в последнее время, когда Битмайн часто сидел в центре давних дискуссионных дискуссий биткойнов, выступая против предложений, созданных членами сообщества Bitcoin Core. Например, выявлена ​​уязвимость следует утверждениям что производитель использовал преимущество секретной добычи, чтобы увеличить свою прибыль.

В беседе с CoinDesk главный исследователь Bitcoin Unlimited Питер Ризун, возможно, подвел итог проблеме и окружающей атмосфере:

«Сегодняшняя драма в социальных сетях освещает вопрос о том, существует ли дыра в безопасности, которая позволила бы использовать эту функцию дистанционного управления в гнусных целях».

Информация о кодах

Тем не менее, похоже, что есть другие причины беспокоиться о бэкдоре.

Поскольку он может быть использован злоумышленниками извне компании, микросхемы добычи теперь рассматриваются как угроза безопасности для сети. Каждые 11 минут, в соответствии с открытым исходным кодом пластырь введенные 12 июля 2016 года, машины отправляют обратные вызовы на сервер Bitmain.

Идея состоит в том, что производитель горных работ может сканировать для идентификации информации о микросхеме, включая ее серийный номер и IP-адрес.

Но, возможно, самая большая проблема заключается в том, что код не ограничивается использованием определенными людьми или компаниями, поэтому его можно использовать любым человеком в середине или атаками, поступающими с одного и того же DNS-сервера.

«Даже если Bitmain не злонамерен, API не проверен аутентификацией и позволит любому MITM, DNS или доменному захвату отключать Antminers по всему миру», – говорится в веб-сайте Antbleed, в котором далее излагаются опасения по поводу возможного технического или политического злоупотребления.

Уязвимость или «вредоносный» бэкдор?

Предполагалось ли, что это было злонамеренное зрелище, составляет основную часть окружающих дебатов, и до сих пор кажется, что настроение нарушается в рамках масштабных дебатов.

Тем не менее, некоторые отделились от так называемых партийных линий.

«Это было безрассудно с ними, чтобы оставить незавершенную функцию в коде, поскольку это представляет серьезную проблему безопасности», – сказал Генри Браде (Henry Brade), исполнительный директор Bitcoin-провайдера Prasos, бывшего защитника предложений по масштабированию Bitcoin Core.

«Однако, основываясь на заявлении, неверно называть« Antbleed »злонамеренным по своей природе. Это просто серьезная проблема безопасности».

Оператор F2pool Ван Чун далее отметил, что он не особенно беспокоится о том, что шахтеры в его бассейне становятся жертвами манипуляций с Битмайн. Он отметил в беседе с CoinDesk, что не похоже, что компания когда-либо использовала его для закрытия шахтеров.

«Они смогли это сделать в течение длительного времени, но они этого не сделали», – сказал он.

Гай Корем, бывший генеральный директор израильского горнодобывающего чип-продюсера Spondoolies-Tech, выкрикнул разногласия по поводу «некомпетентности» и «небрежности», а не злонамеренных намерений.

«Имеет смысл, что они хотели разработать такую ​​функцию, и также имеет смысл, что они не завершили ее и не отказались», – добавил он. Кроме того, он привел Spondoolies-Tech собственные прошлые выпуски с украденным горным оборудованием.

Тем не менее, некоторые в сообществе скептический из Ответ Bitmain.

«Отрицание многих людей невероятно». «Antbleed» не является ошибкой или ошибкой. Цель кода ясна: выключите шахтер на удаленном флаге, – сказал Палитанус в твиттере.

Общественная информация?

Другие высказывают опасения по поводу того, что эта уязвимость становится общедоступной, поскольку посторонние могут воспользоваться преимуществом вектора атаки.

Биткойн Core contributor Мэтт Коралло утверждал, что владельцы этих биткойн-шахтеров должны знать о потенциальной уязвимости, чтобы исправить это.

«Проблема в том, что он уже интегрирован в тонну развернутого оборудования», – сказал он, добавив:

«Об этом сообщается в Bitmain через этот отчет об ошибках несколько месяцев назад, и их клиенты должны знать, чтобы защитить свои операции от потенциальных [нападений« человек-в-середине »]».

Проблема была впервые сообщена Bitmain на Github в сентябре 2016 года.

Один вопрос заключается в том, насколько распространена практика в биткойне. секрет бэкдоры похоже, являются сторонниками курса в мире технологий, часто привлекают критически настроенных критиков, поскольку они раскрыты. У других производителей оборудования такая же уязвимость? Два производителя горнодобывающей промышленности, по крайней мере, утверждают, что они этого не делают.

«Наше оборудование не имеет таких проблем, мы [не предлагаем] удаленное обновление для прошивки – это решение клиента, которое их обновляет или нет», – сказал менеджер по блочным блокам Bitfury Group CIO Алекс Петров.

«Мой шахтер не имеет ASICBoost или бэкдора», сказал Джек Ляо, генеральный директор горнодобывающей компании LightningAsic, сказал CoinDesk.

Наряду с подробностями о бэкдоре те, кто его обнаружил, выпустили патч, который закрывает его одной строкой кода.

Централизация добычи

Тем не менее, существуют затяжные опасения, что уязвимость предает слабость в сети биткойнов – а именно, нехватка производителей микросхем.

Нет четких данных о том, сколько шахтеров работает с этим программным обеспечением, но Bitmain является одним из крупнейших производителей чипов в космосе, с более смелыми оценками, предполагающими, что он производит 70% всех микросхем.

То, что бэкдор может использоваться для воздействия на любой из этих чипов, неудивительно тревожит сторонников того, что сеть будет «децентрализованной» и открыта для конкуренции, что позволяет различным субъектам участвовать в ней.

На данный момент, похоже, влияние Bitmain будет действовать, чтобы посмотреть остальную часть его кодовой базы, чтобы выявить другие уязвимости.

«Противоречия вокруг этого кода привлекли наше внимание, чтобы улучшить дизайн, чтобы устранить уязвимости, которые недавно были отмечены сообществом», – говорится в его заявлении.

Тем не менее, другие жалуются на состояние драмы и разговор по этому вопросу, отмечая, насколько быстро он стал политизированным.

Ризун заключил:

«Все-в-одном только один день в биткойне».

Изображение через Веб-сайт AntBleed

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here