인기 있는 Bitcoin OpTech 뉴스레터는 자신의 이익을 위해 악용하지 않고 Bitcoin 소프트웨어의 주요 취약점을 책임감 있게 공개한 개발자들에게 감사를 표하기 위해 명예의 전당을 만들었습니다. 이 목록은 비트코인이 실패 직전에 있었던 XNUMX년 이상의 에피소드를 제공합니다.
Bitcoin OpTech는 Bitcoin 사용에 관심이 있는 비즈니스를 위한 오픈 소스 기술을 개발합니다. 그것은 일상적으로 문제를 소프트웨어 취약점에 대한 책임 있는 공개 개발자가 작업할 수 있습니다. 이 회사는 비트코인 및 관련 소프트웨어에 대한 기술 뉴스를 다루는 주간 이메일 요약 뉴스레터로 가장 잘 알려져 있습니다.
이제, 그것은 유지 보고를 받은 가장 큰 버그의 목록입니다. 그들 중 다수는 공격자가 Bitcoin Core 또는 Lightning Network와 같은 Bitcoin 인프라의 중요한 부분에 심각한 손상을 입힐 수 있는 심각한 Bitcoin 취약점이었습니다.
비트코인 취약점: LND 및 BTCD의 구문 분석 버그 차단
Bitcoin Optech 뉴스레터 #222는 블록 구문 분석 버그를 보고했습니다. LND 및 BTCD 지나가는 부락에게 발견 브룩구. 그는 998개 중 999개의 Taproot 탭스크립트 다중 서명 트랜잭션을 전송하여 BTCD 및 LND에서 사용하는 구문 분석 라이브러리를 손상시켰습니다. 버그는 공개 11월 9, 2022.
Taproot의 합의 규칙은 트랜잭션에서 전송되는 증인 데이터의 크기를 제한하지 않았습니다. 사용자는 곧 BTCD 전체 노드 및 LND 라이트닝 네트워크 구현을 보고했습니다. 데이터를 전달하지 못했습니다 최근 블록에서. 개발자가 BTCD 코드의 새 버전으로 문제를 수정했습니다.
더 읽기 : 버그가 라이트닝 네트워크 내에서 비트코인을 몇 시간 동안 동결
Lightning Network 앵커 출력에서 감지된 보안 취약성
바스티앙 테인튀리에 정보 Lightning-Dev 메일링 리스트 수신자는 실험적 기능 및 LND가 있는 Core Lightning의 이전 버전에 영향을 미치는 보안 문제에 대해 설명합니다.
LN 앵커 출력에 대한 새로운 디자인을 통해 당사자는 취소된 여러 HTLC 출력을 단일 트랜잭션으로 결합할 수 있습니다. 이 설계에는 취소된 HTLC를 발행한 당사자가 청구되지 않은 자금을 훔치다 HTLC 타임록이 만료되었을 때.
그는 이전에 이를 LN 구현 유지 관리자에게 보고했으며 이전 버전의 Core Lightning 사용자에게 업그레이드를 설치하도록 권장했습니다. 그만큼 버그 2021년 XNUMX월에 보고되었습니다.
BTCPay 서버의 사이트 간 스크립팅 취약점
Ajmal Aboobacker와 Abdul Muhaimin은 공개 포상금을 받았습니다. 유익한 BTCPay 개발자는 BTCPay 서버의 세 가지 교차 사이트 스크립팅 취약점에 대해 설명합니다. BTCPay 서버 1.2.3에서 문제가 해결되었습니다. 버그는 공유 2021년 XNUMX월 대중과 함께합니다.
BIP125와 비트코인 코어 구현 간의 불일치
그 전에 Antoine Riard는 갈등 125년 2021월에 공개된 BIP125와 비트코인 코어 사이. BIPXNUMX 수 유추된 상속을 통해 상위 트랜잭션의 출력을 사용하는 모든 트랜잭션을 대체할 수 있도록 발신자가 Replace-By-Fee로 대체할 수 있는 확인되지 않은 상위 트랜잭션.
이 기능은 이 동작을 허용하지 않는 비트코인 코어와 충돌을 일으켰습니다. 충돌로 인해 기존 LN 취약점이 공개될 수 있습니다. Optech 뉴스레터 #95 이용하기에 저렴합니다.
LND에서 비표준 서명 수락
앙투안 리아드 공개 같은 해 XNUMX월 LND의 취약점으로 인해 비트코인 코어가 기본적으로 중계하거나 채굴할 수 없는 트랜잭션 서명을 수락했습니다. 비트코인 코어 수준에서 트랜잭션이 확인되지 않으면 타임록이 만료되어 공격자가 자금을 훔칠 수 있습니다.
인벤토리 메모리 부족 서비스 거부 공격
2020년 XNUMX월, Braydon Fuller와 Javed Khan 공개 공격자가 서비스 거부 공격의 변형으로 인벤토리(inv) 메시지로 비트코인 노드를 플러딩할 수 있는 취약점. 각 inv 메시지에는 최대 트랜잭션 해시 수가 포함되었습니다.
대상 노드가 너무 많은 inv 메시지를 수신하면 메모리 부족 및 충돌. 서비스 거부 공격은 다음과 결합될 수 있습니다. 일식 공격 자금을 훔치는 것.
LN 수수료 몸값 공격
2020년 XNUMX월, René Pickhardt 탐지 된 송금인이 지불을 보낼 때 적절한 수수료를 선택하지 않아 지불을 인질로 잡을 수 있는 라이트닝 네트워크 취약점.
라이트닝 네트워크에서도 공격자는 많은 "정크" 트랜잭션을 전송하여 수수료율을 높일 수 있으며, 이는 권장 수수료 구조를 선택한 수수료율보다 높게 만들 수 있습니다. 이 취약점을 악용하면 수신자가 강제로 채널을 닫을 수 있습니다. 지불을 받지 않고 또는 HTLC 오프체인 결제에 동의합니다.
다중 입력 세그윗 거래에 대한 수수료 초과 지불 공격
그렉 샌더스가 발견한 취약점 2020년 XNUMX월 하드웨어 지갑과 상호 작용하는 데 일반적으로 사용되는 소프트웨어에서. 하드웨어 지갑은 안전한 스토리지 제공 디지털 자산의 소유자가 일반적으로 인터넷에 연결된 컴퓨터에 연결된 상태로 두지 않기 때문입니다.
그러나 공격자는 하드웨어 지갑 소유자의 컴퓨터를 해킹하여 소프트웨어를 제어하는 데 사용할 수 있습니다. 공격자는 이를 사용하여 UTXO 금액을 계산하는 데 사용되는 알고리즘을 방해하여 하드웨어 지갑이 거래 수수료를 초과 지불하도록 속일 수 있습니다.
취약점만 상태 비저장 서명자에게 영향 UTXO 데이터를 저장하지 않고 소유자가 트랜잭션을 보낼 때마다 다시 계산해야 하는 하드웨어 지갑과 같습니다.
참조 C 언어 bech32 구현의 오버플로 버그
Trezor는 C 프로그래밍 언어로 작성된 Bech32 구현을 위한 참조 함수의 버그를 공개했습니다. 2018년 XNUMX월. 버그는 다른 프로그래밍 언어로 작성된 구현에 영향을 미치지 않습니다.
버그를 수정하는 패치를 출시했습니다. Ledger는 Trezor에 비트코인 캐시 주소용 Trezor 라이브러리 중 하나의 유사한 버그에 대해 알렸습니다. Trezor는 또한 이를 수정하기 위해 패치를 만들었습니다.
Bitcoin Optech는 서비스 거부 취약점을 수정했습니다.
비트코인 옵텍 팀 고정 공격자가 광부를 속이는 데 사용할 수 있는 서비스 거부 취약점 유효하지 않은 비트코인 거래 수락. 광부와 비트코인 서비스는 수정 사항을 포함하도록 소프트웨어를 업그레이드하거나 최소 30번의 확인을 기다릴 것을 권장했습니다.
Awemany는 원래 이 문제를 보고했습니다. 비트코인 옵텍 경고를 내렸다. 20년 2018월 XNUMX일 이 취약점에 대해 설명했습니다. 기술 세부 사항에 따르면 이 버그로 인해 광부가 보낸 사람이 비트코인을 두 번 사용할 수 있는 정확한 조건을 설정할 수 있었습니다.
Cory Fields는 Bitcoin Cash에서 합의를 깨는 버그를 보고했습니다.
코리 필드 공개 같은 해 XNUMX월 그는 비트코인 캐시 개발자에게 버그를 보고하는 좌절감을 느낀 후 비트코인 캐시에서 합의를 깨는 버그에 대해 익명으로 보고했습니다.
그는 그것을 만드는 것이 좋습니다 더 쉬운 취약점 보고 디지털 자산 프로젝트에 익명으로. Neha Narula 님이 추가했습니다 추천 잠재적으로 치명적인 버그를 방지하기 위해 프로젝트 관리자에게.
SPV 증명의 취약점이 우연히 공개되었습니다.
SPV 증명의 취약점으로 인해 채굴자가 블록에 포함시키도록 속이는 실제 64비트 트랜잭션을 생성하여 존재하지 않는 트랜잭션의 SPV 증명을 생성할 수 있습니다. Bitcoin 창시자 Satoshi Nakamoto는 섹션 8에서 SPV 증명의 이 결함을 예측했습니다. Bitcoin 백서.
개발자는 이 익스플로잇을 사용하는 공격자가 가치보다 더 비싸다는 것을 알게 될 것이라고 믿었습니다. 그들의 기지를 덮기 위해 그들은 수정 Bitcoin Core RPC는 이 취약점을 완화할 수 있는 추가 검사를 수행합니다.
더 많은 정보를 얻으려면 다음에서 우리를 따르십시오. 트위터 와 구글 뉴스 또는 조사 팟캐스트를 듣습니다. 혁신: 블록체인 시티.
출처: https://protos.com/bitcoin-optech-celebrates-years-of-major-fixes-to-bitcoin-vulnerabilities/