Antbleed: La nueva controversia de Bitcoin explicada

Ayer se reveló una vulnerabilidad en un chip minero que podría usarse para apagar de forma remota las máquinas de minería de Bitcoin ; poco después, el fabricante publicó una solución.

El problema, que involucra al controvertido fabricante de chips de minería Bitmain, es lo que algunos llaman una "puerta trasera" en el código que controla su hardware, lo que ofrece a la compañía una forma de desactivar remotamente a los mineros. Dado que el código...liberado anónimamenteAnoche, es vulnerable a los atacantes, la principal preocupación es si, en el peor de los casos, podría ser utilizado indebidamente.

El temor es que actores maliciosos puedan explotar la vulnerabilidad para apagar equipos de minería de Bitcoin en masa, y con Bitmain suministrando una cantidad tan grande de máquinas al mercado, el impacto podría tener implicaciones catastróficas para el ecosistema de Bitcoin .

Conocida como Antbleed (nombre otorgado por el sitio web que difundió su publicación), la vulnerabilidad es de código abierto, lo que facilita su verificación. Previo a la revelación, se informó a un grupo sobre la función del código, junto con algunos desarrolladores, como Marek Palatinus, CEO de Satoshi Labs.verificando independientementeque la puerta trasera existe y que puede usarse para detener a los mineros de Bitmain al activarse.

Bitmain rápidamenterespondióCon una solución que elimina esta parte de su firmware de minería. Además, su equipo afirmó que la función nunca se completó y que su objetivo era ayudar a los clientes a recuperar mineros robados, un problema que ya existía para las empresas del sector.

El comunicado dice:

Nunca tuvimos intención de usar esta función en ningún Antminer sin la autorización de su propietario. Es similar a la función de borrado o apagado remoto que ofrecen la mayoría de los fabricantes de smartphones más conocidos.

Gran parte del revuelo reciente en la comunidad gira en torno a si la denominada "puerta trasera" podría haber sido utilizada con fines maliciosos, por ejemplo, para apagar un minero si no cumplía con las reglas establecidas por Bitmain.

Para aumentar la confusión, últimamente los desarrollos de Bitcoin se han politizado mucho, con Bitmain a menudo en el centro del prolongado debate sobre el escalado de Bitcoin, oponiéndose a las propuestas de miembros de la comunidad Bitcoin CORE . Por ejemplo, la vulnerabilidad revelada sigue las acusaciones que el fabricante estaba utilizando una ventaja minera Secret para aumentar sus ganancias.

En una conversación con CoinDesk, el científico jefe de Bitcoin Unlimited, Peter Rizun, probablemente haya resumido mejor el problema y la atmósfera circundante:

El drama actual en las redes sociales gira en torno a la cuestión de si existe una vulnerabilidad de seguridad que permita explotar esta función de control remoto con fines maliciosos.

Detalles del código

Aun así, parece que hay otros motivos para preocuparse por la puerta trasera.

Dado que pueden ser explotados por actores maliciosos externos a la empresa, los chips de minería ahora se consideran un riesgo de seguridad para la red. Cada ONE a once minutos, según el código abierto. parcheIntroducidas el 12 de julio de 2016, las máquinas envían llamadas a un servidor Bitmain.

La idea es que el fabricante de minería pueda escanear en busca de información de identificación sobre el chip de minería, incluido su número de serie y dirección IP.

Pero, posiblemente la mayor preocupación es que el código no está limitado al uso por parte de ciertas personas o empresas, por lo que puede ser explotado por cualquier intermediario o por ataques que provengan del mismo servidor DNS.

"Incluso sin que Bitmain sea malicioso, la API no está autenticada y permitiría que cualquier ataque MITM, DNS o secuestro de dominio detenga a los Antminers a nivel mundial", se lee en el sitio web de Antbleed, destacando además las preocupaciones sobre el potencial mal uso técnico o político.

¿Vulnerabilidad o puerta trasera “maliciosa”?

Si la intención era o no ser malicioso parece constituir la mayor parte del debate en torno a esto, y hasta ahora, parece que el sentimiento se ha dividido en torno al debate sobre la escala.

Aún así, algunos se distanciaron de las llamadas líneas del partido.

"Fue imprudente de su parte dejar la función sin terminar en el código, ya que esto representa un importante problema de seguridad", dijo Henry Brade, CEO del proveedor de servicios de Bitcoin Prasos, un ex defensor de las propuestas de escalamiento de Bitcoin Core.

Sin embargo, según la declaración, no es preciso decir que 'Antbleed' es malicioso. Se trata simplemente de un grave problema de seguridad.

El operador de F2pool, Wang Chun, señaló además que no le preocupa especialmente que los mineros de su pool sean víctimas de manipulación por parte de Bitmain. En una conversación con CoinDesk, señaló que no parece que la compañía lo haya utilizado nunca para bloquear a los mineros.

"Habían podido hacerlo durante mucho tiempo, pero no lo hicieron", dijo.

Guy Corem, ex director ejecutivo del Maker israelí de chips de minería Spondoolies-Tech, atribuyó la controversia a la "incompetencia" y la "negligencia", en lugar de a intenciones maliciosas.

"Tiene sentido que quisieran desarrollar esa función y también que no la completaran y la abandonaran", añadió. Además, citó a Spondoolies-Tech. propios problemas pasadoscon equipo minero robado.

Aún así, algunos en la comunidad están...escéptico deRespuesta de Bitmain.

"Es increíble que tanta gente lo niegue. 'Antbleed' no es un error ni un fallo. El propósito del código es claro: apagar el minero en una bandera remota", tuiteó Palatinus.

¿Información pública?

Otros han expresado su preocupación por que esta vulnerabilidad se haga pública, ya que personas externas podrían aprovechar el vector de ataque.

Matt Corallo, colaborador de Bitcoin CORE, argumentó que los propietarios de estos mineros de Bitcoin necesitaban saber sobre la vulnerabilidad potencial para poder solucionarla.

"El problema es que ya está integrado en una TON de hardware implementado", dijo, y agregó:

Bitmain recibió este informe de errores hace meses, y sus clientes necesitan saberlo para proteger sus operaciones de posibles ataques de intermediarios.

El problema se informó por primera vez a Bitmain en Githubhttps://github.com/bitmaintech/bmminer/issues/7 en septiembre de 2016.

Una pregunta es cuán extendida está esta práctica en Bitcoin. Secret puertas traseras Parecen ser habituales en el mundo Tecnología , y a menudo generan críticas preocupadas por la seguridad a medida que se descubren. ¿Tienen otros fabricantes de hardware la misma vulnerabilidad? Al menos dos fabricantes de minería afirman que no.

"Nuestro hardware no tiene esos problemas, no ofrecemos actualizaciones remotas de firmware: es decisión del cliente actualizarlo o no", dijo Alex Petrov, CIO de la startup blockchain Bitfury Group.

"Mi minero no tiene ASICBoost ni puerta trasera", dijo a CoinDesk Jack Liao, CEO de la empresa minera LightningAsic.

Junto con los detalles sobre la puerta trasera, quienes la detectaron lanzaron un parche que la cierra con una sola línea de código.

Centralización minera

Aún así, persisten preocupaciones de que la vulnerabilidad delate una debilidad en la red Bitcoin , es decir, su falta de fabricantes de chips de minería.

No hay datos claros disponibles sobre cuántos mineros utilizan este software, pero Bitmain es ONE de los mayores fabricantes de chips del sector y estimaciones más audaces sugieren que produce el 70 % de todos los chips de minería.

El hecho de que la puerta trasera pueda usarse para afectar a cualquiera de esos chips es, como era de esperar, alarmante para los defensores de que la red sea "descentralizada" y abierta a la competencia que permita que distintos actores participen en ella.

Por ahora, el impacto parece ser que Bitmain tomará medidas para revisar el resto de su base de código para detectar otras vulnerabilidades.

"La controversia en torno a este código ha llamado nuestra atención para mejorar el diseño con el fin de abordar las vulnerabilidades que la comunidad señaló recientemente", se lee en su declaración.

Aún así, otros lamentan el estado del drama y la conversación en torno al tema, señalando cuán rápidamente se politizó.

Rizun concluyó:

"En definitiva, es solo otro día más en Bitcoin".

Imagen víaSitio web de AntBleed