Conclusiones clave
- Aproximadamente el 6% de los nodos de Bitcoin ejecutan software obsoleto, lo que los expone a riesgos de seguridad.
- La nueva política de divulgación de Bitcoin Core tiene como objetivo mejorar la seguridad de la red a través de la transparencia.
Comparte este artículo
A lo largo de su historial de confirmaciones, los desarrolladores de Bitcoin Core solo han revelado 10 vulnerabilidades que podrían afectar a versiones anteriores del software cliente de Bitcoin. De acuerdo a un informe de Bitcoin Optech, estas vulnerabilidades, aunque ya se solucionaron en versiones más recientes, podrían haber permitido varios ataques a nodos que ejecutan versiones obsoletas de Bitcoin Core.
Este informe viene como desarrolladores. introducido una nueva política de divulgación de seguridad para mejorar la transparencia y la comunicación entre el equipo y los usuarios públicos de Bitcoin.
“Históricamente, el proyecto ha hecho un mal trabajo al revelar públicamente errores críticos de seguridad, ya sean reportados externamente o encontrados por los contribuyentes. Esto ha llevado a una situación en la que muchos usuarios perciben que Bitcoin Core nunca tiene errores. Esta percepción es peligrosa y, desafortunadamente, no precisa”, decía el anuncio, escrito por Antoine Poinsot para Bitcoin Development Mailing List.
Según un análisis escrito por Liam Wright de CryptoSlate, aproximadamente 787 nodos, o el 5,94% de los 14.001 nodos activos de Bitcoin, ejecutan versiones anteriores a la 0.21.0, lo que los hace susceptibles a ciertas vulnerabilidades. La vulnerabilidad más extendida afecta a las versiones anteriores a la 0.21.0, lo que podría permitir la censura de transacciones no confirmadas y provocar netsplits debido a ajustes de tiempo excesivos.
Otras vulnerabilidades importantes incluyen una lista de prohibiciones ilimitada de CPU/memoria DoS (CVE-2020-14198) que afecta a 185 nodos que ejecutan versiones anteriores a 0.20.1, y tres vulnerabilidades independientes que afectan a 182 nodos cada una en versiones anteriores a 0.20.0. Estos incluyen DoS de memoria debido a grandes mensajes inv, DoS que desperdicia la CPU debido a solicitudes mal formadas y fallas relacionadas con la memoria al analizar los URI BIP72.
Las vulnerabilidades más antiguas reveladas se remontan a 2015 y afectan a muy pocos nodos que ejecutan software tan obsoleto. Estos incluyen un error de ejecución remota de código en miniupnpc (CVE-2015-6031) y una caída del nodo DoS debido a mensajes grandes (CVE-2015-3641), impactando a 22 y 5 nodos respectivamente.
El nuevo sistema de divulgación clasifica las vulnerabilidades en cuatro niveles de gravedad y describe plazos específicos para la divulgación según la gravedad. Esta iniciativa tiene como objetivo establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable de vulnerabilidades.
Si bien el porcentaje de nodos vulnerables no es un problema crítico inmediato, representa una porción no trivial de la red que podría explotarse. Esta divulgación, en particular, resalta la necesidad de una mejor comunicación e incentivos dentro de la comunidad Bitcoin para fomentar actualizaciones de software más frecuentes y mejorar la seguridad general de la red. En particular, los errores críticos requerirán un procedimiento ad hoc.
Esta adopción gradual comenzará con la divulgación de las vulnerabilidades corregidas en las versiones 0.21.0 y anteriores de Bitcoin Core, seguidas de aquellas corregidas en versiones posteriores durante los próximos meses. La política tiene como objetivo establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable.
Comparte este artículo