Một tuần sau khi phát hiện lỗi, mạng Bitcoin vẫn còn dễ bị tổn thương.

[roger]

Hơn một tuần sau khi Bitcoin Core phát hành bản cập nhật dành cho khách hàng để giải quyết một lỗ hổng dịch vụ nghiêm trọng, hầu hết các nút vẫn đang chạy trên phần mềm cũ. Đó là một vấn đề!





Hơn một tuần trước, một người nào đó đã tìm thấy một lỗ hổng nghiêm trọng trong phần mềm Bitcoin Core – một lỗ hổng từ chối dịch vụ ảnh hưởng đến các phiên bản từ 0.14.0 đến 0.16.2. Một số nhà phát triển Bitcoin Core đã xem xét và thấy rằng có thêm một vấn đề trong phiên bản 0.15.0 trở lên: một lỗi đồng thuận có thể cho phép tạo ra các Bitcoin giả. Ngay sau đó, họ đã nhanh chóng và lặng lẽ vá lỗi cùng với phát hành phiên bản 0.16.3 vào ngày 18/9. Vấn đề được giải quyết, đúng không?

Không hẳn. Đối với các lỗ hổng để dừng dễ bị tổn thương, các nút chạy phần mềm cần phải nâng cấp. Và điều đó gần như vẫn chưa đủ. Giáo sư Cornell Emin Gün Sirer nói với Motherboard rằng một ai đó có thể đã sử dụng lỗ hổng này để phá hoại mạng lưới Bitcoin chỉ với 80.000 USD.

Trong một tweet vào ngày 23 tháng 9, Cøbra tuyên bố rằng hơn 80% mạng bitcoin vẫn đang chạy phần mềm dễ bị tấn công:


''các lỗ hổng đã bị xóa khỏi bitcoin core. nhưng hiện nay, hơn 80% mạng lưới vẫn đang chạy phần mềm dễ bị tấn công, nhưng điều đáng nói là không có cách nào để tiếp cận họ và yêu cầu họ cập nhật, chúng tôi chỉ có thể cầu nguyện họ sẽ đọc các bài viết reddit, twitter, bitcoin.org hoặc bitcointalk,..''

''bad move that the alert system was removed from bitcoin core. currently 80%+ of the network is running vulnerable software, but there's no way to reach them and tell them to update, we can only pray they check reddit, twitter, https://t.co/osfgrfrrzb or bitcointalk, etc.

— cøbra (@cobrabitcoin) september 23, 2018  ''


Để làm rõ việc Bitcoin Core đã an toàn, theo Coin Dance, tính đến hôm nay, 49% tất cả các nút được bảo vệ khỏi lỗ hổng lạm phát. Nhưng có một vài điều ở đây. Đầu tiên, con số Coin Dance đưa ra không bao gồm tất cả các nút. Thứ hai, lỗ hổng lạm phát không phải là vấn đề duy nhất với phần mềm đối mặt.

Hơn nữa, không phải tất cả các “nút được bảo vệ” mà Coin Dance liệt kê là nhờ phiên bản mới cập nhật: Nhiều nút đã chạy phần mềm 0.15.0 (phát hành vào tháng 9 năm ngoái) và pre-0.14.0 (phát hành tháng 3 năm 2017) từ trước và một số đang sử dụng các nút bên ngoài Bitcoin Core. (Không giống như Ethereum , có hai khách hàng lớn – Geth và Parity- mạng Bitcoin bị chi phối bởi Bitcoin Core, nhưng lại có một số nút nhỏ hơn, bao gồm Bitcoin Knots và btcsuite.)

Tuy nhiên, hãy xem xét kỹ hơn các con số và bạn sẽ thấy rằng Coin Dance không phân loại các nút 0.14.x là dễ bị tấn công, mặc dù Bitcoin Core đã cho biết 0.14.x là dễ bị tổn thương.

Ngược lại, nhà phát triển Bitcoin Core Luke Dashjr nhìn thấy phần lớn các nút dễ bị tổn thương nhưng không nhất thiết thuộc về lỗi lạm phát.

Nhưng dù gì cũng vẫn còn lỗ hổng, vậy thì tại sao mọi người không vá cả các lỗ hổng đó?

Dashjr nói với chúng tôi rằng việc áp dụng dần dần là tiêu chuẩn:


''xu hướng nâng cấp hiện tại có vẻ ít nhiều giống như những gì người ta thường mong đợi khi có bản phát hành mới. trong trường hợp thông thường, điều này sẽ hợp lý, nhưng vì có lỗ hổng nghiêm trọng được tiết lộ công khai, chúng tôi phải ưu tiên vá một số thứ trong trường hợp này.''

Tuy nhiên, các nút chưa được cập nhật là gì? Sirer đã phát biểu trong một tweet hôm qua rằng:


''tỷ lệ phần trăm mạng lưới không được nâng cấp sau khi có một bản vá lớn là do các nút đó vô giá trị về mặt kinh tế…''


''the percentage of the network not upgraded after a major patch corresponds to economically worthless nodes. if they did or affected something useful, someone would have bothered to upgrade them. https://t.co/tsc0erfb7a

— emin gün sirer (@el33th4xor) september 24, 2018''

Theo : bitcoinnews