Dois engenheiros de Bitcoin (BTC), descobriram várias vulnerabilidades que poderiam desligar a blockchain dois anos depois de ter resolvido o problema.
Os engenheiros Braydon Fuller e Javed Khan consertaram a falha, chamada INVDoS, na blockchain do bitcoin em 2018. Contudo, eles a redescobriram em outra blockchain, conforme reportou o Decrypt.
Nesta semana, os engenheiros publicaram um artigo de pesquisa detalhando como eles encontraram o problema em uma série de outras interações da blockchain: BitcoinDark (BTCD) e Decred (DCR).
O ataque funciona com um nó hostil na blockchain – um membro da rede que valida as transações – enche o outro, enviando spam com chamadas para transações inexistentes.
O nó ficaria sobrecarregado e sua memória cresceria indefinidamente, segundo os engenheiros.
“Isso irá travar o processo e potencialmente congelar o computador até que seja encerrado”, de acordo com o relatório.
A vulnerabilidade conhecida como ataque de “negação de serviço” era facilmente explorável por hackers.
Neste ano, Khan percebeu que o antigo problema do BTC se aplicava também ao BTCD, um nó blockchain alternativo que não permite que seus usuários enviem ou recebam pagamentos.
Um mês depois, Khan descobriu a vulnerabilidade em outra rede blockchain, a Decred (DCR). O engenheiro em conjunto com outros lançou correções para as vulnerabilidades no final de agosto.
Felizmente, segundo Khan “não houve uma exploração conhecida desta vulnerabilidade em estado grave”.
Esse desligamento de rede não acontece há anos. “Para a rede Bitcoin, houve apenas duas vulnerabilidades que levaram a esses eventos de tempo de inatividade, e não houve uma desde 2013”, observou o relatório.
As blockchains Litecoin e Namecoin também correram risco, acrescentaram os engenheiros, embora o relatório apontasse que era improvável que a vulnerabilidade pudesse ter ajudado os hackers a roubar Bitcoin.
Os mineradores e as exchanges que executam versões mais antigas do software Bitcoin ainda podem estar em risco, mas a maioria das pessoas que executam nós terão o software mais atualizado.
Os engenheiros afirmam que “você provavelmente já está protegido. Caso contrário, certifique de se atualizar”.