Antbleed: Bitcoini uusim uus vaidlus selgitatud | EE.democraziakmzero.org

Antbleed: Bitcoini uusim uus vaidlus selgitatud

Antbleed: Bitcoini uusim uus vaidlus selgitatud

Kaevandamise kiip haavatavust, mis võivad kasutada eemalt välja lülitada Bitcoin kaevandamismasinad selgus eile - koos fix tootjalt järgmised varsti pärast.

Kaasates vastuoluline kaevandamise kiip tootja Bitmain küsimus on see, mida mõned helistate "tagauks" koodi, mis kontrollib oma riistvara, pakkudes ettevõtte viis eemalt välja lülitada kaevurit. Kuna kood, vabastatakse anonymouslylast õhtul on tundlikud ründajad, peamine mure on, kas halvima stsenaariumi korral võidakse kuritarvitada.

Hirm on, et halb osalejad võivad kasutada haavatavust välja lülitada Bitcoin kaevandamise seadmed lahtiselt, ja Bitmain varustavad selline suur hulk masinaid turul, mõju võib olla katastroofilised tagajärjed Bitcoin ökosüsteemi.

Tuntud Antbleed (pealkiri andnud oma kodulehel, et dramatiseeritud avaldamist), haavatavus on avatud lähtekoodiga, mistõttu on lihtne kontrollida. Leading kuni paljastada, rühma öeldi kood funktsioon, mõned arendajad, nagu Satoshi Labs tegevjuht Marek Palatinus sõltumatult kontrollida, et tagauks olemas ja et seda saab kasutada, et peatada Bitmain kaevurite käiviti.

Bitmain kiiresti respondedwith parandus, mis kustutab selle osa oma kaevandamine püsivara. Lisaks oma meeskonda väitis, et funktsioon ei lõpe kunagi, ja et see oli mõeldud, et aidata klientidel taastada varastatud kaevurite, möödunud probleem tööstuse ettevõtetele.

Avaldus loeb:

"Me ei ole kunagi kavatsenud seda funktsiooni kasutada mis tahes Antminer loata selle omanik. See on sarnane kaug kustutada või seiskamise funktsioon pakub kuulsaim nutitelefoni tootjad."

Suur osa viimastel buzz kogukonnas on umbes, kas nii kirjeldatud "tagauks" võidi kasutada kuritegelikel eesmärkidel, näiteks välja lülitada kaevur, kui see ei vasta kehtestatud eeskirjade Bitmain.

Lisades segadust on, et Bitcoin arengud on väga politiseeritud viimasel ajal koos Bitmain sageli istub keskmes Bitcoin kauaaegne tagi arutelu, vastase ettepanekud autoriks liikmed Bitcoin Core kogukonnas. Näiteks haavatavust paljastada järgmiselt allegationsthat tootja kasutas salajase kaevandamise eelis, et suurendada oma kasumit.

Vestluses CoinDesk, Bitcoin Unlimited juhtivteadur Peter Rizun võis võttis probleemi ja ümbritseva atmosfääri parim:

"Draama sotsiaalmeedias täna ümbritseb küsimust, kas on olemas turvaaugu, mis võimaldaks seda kaugjuhtimise funktsioon tuleb kasutada Paha eesmärkidel."

Kood üksikasjad

Siiski tundub, et on ka teisi põhjuseid mures tagauks.

Kuna seda saab kasutada halva osalejate väljastpoolt ettevõtet, kaevandamise kiibid on nüüd vaadelda turvariski võrku. Iga üks kuni 11 minutit, vastavalt avatud lähtekoodiga patchintroduced on 12. Juuli, 2016 masinate Kirjuta kõned tagasi Bitmain server.

Idee on selles, et kaevandamise tootja saab skaneerida tuvastamiseks informatsioon kaevandamise kiip, sealhulgas selle seerianumber ja IP-aadressi.

Aga vaieldamatult suurim mure on see, et kood ei piirdu kasutada teatud inimesed või ettevõtted, seega saab kasutada mis tahes man-in-the-middle või ründab tulevad samast DNS server.

"Isegi ilma Bitmain on pahatahtlik, API on autentimata ja võimaldaks igal MITM, DNS või domeeni kaaperdamine sulgeda Antminers globaalselt, edaspidi" Antbleed veebilehel loeb, veelgi ülevaate muret võimalike tehniliste või poliitiliste väärkasutust.

Haavatavust või "pahatahtlik" tagauks?

Kas see oli ründeiseloomuga tundub moodustavad põhiosa ümbritseva arutelu ja siiani tundub, et sentiment on katki eeskujul tagi arutelu.

Siiski, mõned lahku nn pool rida.

"See oli hoolimatu neist lahkuda lõpetamata funktsiooni koodi kuna see kujutab endast olulist turbeprobleem," ütles Henry Brade tegevjuht Bitcoin teenusepakkuja Prasos, möödunud kaitsja Bitcoin Core tagi ettepanekuid.

"Kuid põhineb avaldus see ei ole täpne, et helistada" Antbleed "pahatahtliku iseloomuga. See on lihtsalt tõsine turvaprobleem."

F2pool operaator Wang Chun märkis lisaks, et ta ei ole eriti mures kaevurite jooksul oma bassein ohvriks manipuleerimise Bitmain. Ta märkis, et vestlus CoinDesk et see ei tundu firma kunagi kasutanud seda sulgeda kaevurit.

"Nad on suutnud teha, et pikka aega, kuid nad ei ole," ütles ta.

Guy COREM endine tegevjuht Iisraeli kaevandamise kiip tegija Spondoolies-Tech, korjasid poleemikat, et "ebapädevust" ja "hooletus", mitte pahatahtlikkuse.

"See mõtet nad tahtsid arendada selline funktsioon ja see ka mõtet nad ei lõpetanud seda ja loobuma," lisas ta. Veelgi enam, ta viidatud Spondoolies-Tech enda mineviku issueswith varastatud kaevandamise seadmed.

Siiski, mõned kogukonnas on skepticalofBitmain vastus.

"Denial of paljud inimesed on uskumatu." Antbleed "ei ole bug või viga. Eesmärk kood on selge; sulgeda kaevur kõrvalistele lipu," Palatinus säutsus.

Avalik info?

Teised on väljendanud muret selle haavatavuse avalikustamist, kuna kõrvalised isikud saavad siis ära ründevektoriks.

Bitcoin Core toetaja Matt Corallo väitis, et omanikud need Bitcoin kaevurite vaja teada potentsiaalse haavatavuse et seda parandada.

"Küsimus on see juba integreeritud ton riistvarakulusid," ütles ta, lisades:

"See oli teatatud, et Bitmain kaudu, et Veaaruande kuud tagasi, ja nende kliendid peavad teadma, et kaitsta oma tegevuse võimalike [man-in-the-middle rünnakute]."

Küsimus esmakordselt teatatud Bitmain kohta Githubin september 2016.

Üks küsimus on, kuidas levinud tava on Bitcoini. Secret backdoorsseem olla par jaoks muidugi tehnoloogia maailmas, mida sageli turvalisuse mõtlemisega kriitikud kui nad katmata. Kas teised riistvara tootjad on sama haavatavust? Kaks kaevandamise tootjad vähemalt väidavad, et nad seda ei tee.

"Meie riistvara ei [on] selliseid küsimusi, me [ei] pakkuda kaugvärskendamine püsivara - see on kliendi otsust uuendada neile või mitte," ütles blockchain käivitamisel Bitfury Group CIO Alex Petrov.

"Minu kaevur ei ole ASICBoost või tagauks," Jack Liao tegevjuht kaevandamine LightningAsic, ütles CoinDesk.

Koos andmeid tagauks, kes avastatakse seda vabastatakse plaaster, sulgeb ta üles koos ühe rida koodi.

Mining tsentraliseerimise

Ikka on ikka mured, et haavatavust reedab nõrkus Bitcoin võrgu - nimelt see puudumine kaevandamise kiip tegijad.

Puudub selge andmed on saadaval, kuidas paljud kaevurid töötavad selle tarkvara, kuid Bitmain on üks suurimaid kiip tootjad ruumis, kus julgem hinnangute oletada ta toodab 70% kogu kaevandamise kiipe.

Et tagauks võiks kasutada mõjutab kõiki neid kiipe on oodatult murettekitav soovib, et võrk on "detsentraliseeritud" ja avatud konkurentsi, mis võimaldab erinevate osalejate tegeleda ta.

Praegu näib, et mõju oleks, et Bitmain võtab meetmeid, et vaadata ülejäänud tema koodi, et märgata teisi kohti.

"Poleemika ümber see kood on toonud meie tähelepanu parandada disaini, et saaks kasutada nõrkade kohtade mis märkis kogukonnas hiljuti," tema avaldus loeb.

Ikka, teised kurtis riigi draama ja vestlus probleemi ümber, märkides, kui kiiresti see muutus poliitiliseks.

Rizun järeldusele:

"All-in-kõik lihtsalt üks päev Bitcoini."

Bitcoin MiningSecurityBitmain

Seotud uudised


Post Krüptoakursi kaevandamine

Bitcoin Miners järgib kasumit Ethereum Blockchainile

Post Krüptoakursi kaevandamine

BitFury teatab äriettevõtetele suunatud majutamisteenused

Post Krüptoakursi kaevandamine

Dünaamilise DOS-reageerimise lainepikkusesse suunatud bitcoini kaevanduspiirkonnad

Post Krüptoakursi kaevandamine

Bitcoin Miners arutab riske ja preemiaid Las Vegase konventsioonis

Post Krüptoakursi kaevandamine

Pariteetide meeskond avaldab Postmortemi 160 miljoni dollarise eetri külmutamise eest

Post Krüptoakursi kaevandamine

Miks Bitcoin Mining ei saa enam Moorei seadust ignoreerida

Post Krüptoakursi kaevandamine

Bitcoin Mining Giant BitFury teatas $ 20 miljoni rahastamise vooru

Post Krüptoakursi kaevandamine

Bitmain vabastab energiatõhusad 478GH-d AntMiner S3

Post Krüptoakursi kaevandamine

Mida oodata, kui Bitcoin tekib poole võrra?

Post Krüptoakursi kaevandamine

21 faili New Bitcoin Mining Patent

Post Krüptoakursi kaevandamine

Tee Big Cash Bitcoin Cash? IRS võib vaadelda

Post Krüptoakursi kaevandamine

Bitcoini kaevandamise kasumi võistlusel eelistab Fortune vana