Acum două zile, Bitcoin Unlimited a avut parte de prima criză serioasă, după ce acum două zile s-a descoperit un exploit în cod. Aproape 70% dintre noduri au fost trimise offline pe neașteptate din cauza unui bug. În urma exploitului, numărul de noduri Bitcoin Unlimited a scăzut de la aproape 800 la 250 în decurs de mai puțin de o oră (orientativ, întreaga rețea are aproximativ 6100 de noduri).
Acest lucru se întâmplă într-o perioadă în care protocolul Bitcoin Unlimited a început să atragă atenția utilizatorilor și să primească un avânt în rata de adopție și mai multă susținere din partea minerilor. ANTPool este până acum cea mai importantă sursă de minare care a adoptat Bitcoin Unlimited. Săptămâna trecută se specula că după anunțul făcut de ANTPool, popularitatea Bitcoin Unlimited va crește și că la proiect se vor ralia mai mulți mineri.
Vulnerabilitatea a fost făcută publică de Peter Tschipper pe GitHub, care pretindea că cei care au descoperit problema sunt chiar dezvoltatorii codului. Ieri însă a ieșit la iveală că Charlotte Gardner, cercetător de securitate, a fost cea care a descoperit și semnalat problemele. Aceasta a explicat că a descoperit vulnerabilitatea când făcea auditul codului. Este vorba despre două vulnerabilități ”critical remote crash vulnerability”, prin care un anumit mesaj trimis nodurilor poate să le scoată pe acestea din rețea. Prima vulnerabilitate se numește ”NULL pointer dereference” iar a doua ”reachable assertion”. Ambele presupun că un anumit mesaj către nodurile Bitcoin Unlimited și Bitcoin Classic le poate scoate din rețea. Într-o rețea ca cea pe care se bazează moneda bitcoin, asta înseamnă că un atacator poate să facă rost de o listă a nodurilor Bitcoin Unlimited și Bitcoin Classic, liste care sunt oricum publice, și să le scoată din rețea unul câte unul.
”Nu îmi vine să cred că un proiect care vrea să ducă în spate o rețea de 20 de miliarde de dolari poate să facă astfel de greșeli de începător” a spus Charlotte Gardner, adăugând că per total calitatea codului este proastă și că se așteaptă să vadă și alte probleme în viitor.
Charlotte Gardner nu a făcut publică descoperirea imediat. A contactat dezvoltatorii și le-a semnalat problema. ”Nu am vrut să fac vulnerabilitățile publice imediat. Asta ar fi fost iresponsabil. Bugurile ar fi putut fi exploatate înainte ca dezvoltatorii să le poată repara.” a explicat aceasta.
În schimb, Gardner a trimis vulnerabilitatea către CVE, care va dezvălui toate datele într-o lună de zile. Asta înseamnă că dezvoltatorii vor fi presați ca până atunci să rezolve problema. Deși Gardner a semnalat problema în cel mai discret mod posibil, în mai puțin de 12 ore canalele de /reddit se inflamaseră. Nu a durat mult până să înceapă atacurile. Primele atacuri au apărut imediat după ce bug-ul a fost reparat. Mai mult, cineva a publicat un exploit pe care oricine îl putea folosi. La scurt timp, majoritatea nodurilor picaseră (mai mult de 500 de noduri).