Le bug Bitcoin Core affecte les utilisateurs disposant de logiciels obsolètes

Le bug Bitcoin Core affecte les utilisateurs disposant de logiciels obsolètes

Une erreur de programmation Bitcoin Core ouvre la porte aux attaquants pour voler des fonds dans les transactions entre le réseau Lightning et la chaîne principale. Pour cette raison, les développeurs de Bitcoin Core exhortent les utilisateurs de nœuds Lightning ou d’applications sur d’autres plates-formes de transfert BTC à mettre à jour leur logiciel dès que possible avec les dernières versions de Bitcoin Core.

Selon les informations fournies par le développeur Eugene Siegel via Delving Bitcoin, « alors que la majeure partie du réseau a été mise à jour vers au moins la version 22.0, Il reste encore quelques milliers de retardataires, « On espère donc que cette divulgation motivera ceux qui exécutent des nœuds Lightning à passer à une version plus sécurisée. » La divulgation de ce bug a été faite de manière responsable il y a près de 3 ans, période pendant laquelle les ingénieurs et les développeurs ont travaillé sur le correctif sans divulguer les informations publiquement pour empêcher quiconque d’utiliser les informations de manière malveillante.

Plus précisément, le bug permet à un attaquant de trouver un nœud de relais Lightning Network qui se connecte à un nœud de relais Bitcoin exécutant une version de Bitcoin Core antérieure à la v22. « L’attaquant ouvre de nombreuses connexions distinctes au nœud Bitcoin de la victime. L’attaquant tente ensuite de fournir les blocs nouvellement trouvés à la victime plus rapidement que n’importe quel homologue honnête, ce qui entraîne le nœud victime à attribuer automatiquement des homologues contrôlés par l’attaquant à tous les emplacements de relais de blocs compacts de grande largeur. « bande passante de la victime », explique l’équipe Bitcoin Optech.

Une fois que l’attaquant a pris le contrôle d’un grand nombre de paires d’emplacements Bitcoin de la victime, Il utilise les canaux qu’il contrôle à la fois sur le réseau principal et sur le réseau Lightning de la victime pour transférer les paiements qu’il crée.

Dans l’un des cas potentiels décrits, L’attaquant s’associe à un mineur de Bitcoin pour créer un bloc qui ferme unilatéralement le canal de paiement Lightning du côté du destinataire, sans retransmettre la transaction dans un état non confirmé (cette assistance au mineur n’est nécessaire que lors de l’attaque d’une implémentation Lightning qui surveille le pool de mémoire pour les transactions).

Ce bloc de transaction, ou un autre bloc créé par le mineur, réclame également le paiement en libérant la pré-image HTLC (le contrat temporaire requis pour racheter les fonds échangés dans Lightning). Ce qui se passe ensuite, c’est que le nœud Bitcoin de la victime voit le bloc et le transmet à son nœud Lightning, pour extraire la pré-image, lui permettant ainsi de réclamer le montant du paiement du côté du dépensier.

« Cependant, dans ce cas, l’attaquant utilise cette attaque de verrouillage de bloc révélée pour empêcher le nœud Bitcoin Core de connaître les blocs contenant la préimage », commente l’équipe Bitcoin Optech.

L’attaque par impasse profite du fait que les versions précédentes de Bitcoin Core étaient prêtes à attendre jusqu’à 10 minutes pour qu’un homologue délivre un bloc annoncé avant de demander ce blocage à un autre homologue. Étant donné un intervalle moyen de 10 minutes entre les blocs, cela signifie qu’un attaquant contrôlant x connexions peut retarder la réception d’un nœud Bitcoin par un nœud Bitcoin d’environ le temps nécessaire pour produire x blocs. Si le paiement de renvoi doit être réclamé dans un délai de 40 blocs, un attaquant contrôlant 50 connexions peut avoir une chance raisonnable d’empêcher le nœud Bitcoin de voir le bloc contenant la pré-image jusqu’à ce que le nœud dépensier puisse recevoir un remboursement du paiement. Si cela se produit, le nœud dépensier de l’attaquant n’a rien payé et le nœud récepteur de l’attaquant a reçu un montant prélevé sur le nœud de la victime.

Bitcoin Optech, site de diffusion sur les développements Bitcoin et Lightning.

Ce n’est pas la première fois que l’équipe Bitcoin Core fait une divulgation responsable d’une erreur de programmation dans le client principal du réseau, qui est corrigée. Comme CriptoNoticias l’a récemment signalé, dans la version 24 du logiciel, des erreurs ont été trouvées dans le portefeuille et ont été corrigées.

Voir l’article original en espagnol

Audible
🎧 Découvrez le plaisir de l’écoute avec Audible d’Amazon ! Cliquez maintenant et obtenez votre premier livre audio GRATUIT. Ne manquez pas cette chance de transformer vos trajets en aventures épiques ! 📚