Antbleed: Ipinaliwanag ang Pinakabagong Bagong Kontrobersya ng Bitcoin

Ang isang kahinaan sa pagmimina ng chip na posibleng magamit upang malayuang patayin ang mga Bitcoin mining machine ay inihayag kahapon – na may pag-aayos mula sa tagagawa kasunod ng ilang sandali.

Kinasasangkutan ng kontrobersyal na tagagawa ng chip ng pagmimina na Bitmain, ang isyu ay kung ano ang tinatawag ng ilan na "backdoor" sa code na kumokontrol sa hardware nito, na nag-aalok sa kumpanya ng paraan upang malayuang patayin ang mga minero. Dahil sa code, inilabas nang hindi nagpapakilala noong nakaraang gabi, ay mahina sa mga umaatake, ang pangunahing alalahanin ay kung, sa isang pinakamasamang sitwasyon, maaari itong magamit sa maling paraan.

Ang pangamba ay maaaring samantalahin ng mga masasamang aktor ang kahinaan upang isara ang mga kagamitan sa pagmimina ng Bitcoin nang maramihan, at sa pagbibigay ng Bitmain ng napakaraming mga makina sa merkado, ang epekto ay maaaring magkaroon ng mga sakuna na implikasyon para sa Bitcoin ecosystem.

Kilala bilang Antbleed (isang pamagat na ipinagkaloob ng website na nagsadula ng paglabas nito), ang kahinaan ay open-source, na ginagawang madali ang pag-verify. Nangunguna sa pagbubunyag, sinabihan ang isang grupo tungkol sa feature ng code, kasama ang ilang developer, gaya ng CEO ng Satoshi Labs na si Marek Palatinus independiyenteng pag-verify na ang backdoor ay umiiral at na maaari itong magamit upang ihinto ang mga minero ng Bitmain sa trigger.

Bitmain mabilis tumugon na may isang pag-aayos na binubura ang bahaging ito ng firmware ng pagmimina nito. Dagdag pa, inangkin ng koponan nito na hindi pa tapos ang feature, at nilayon nitong tulungan ang mga customer na mabawi ang mga ninakaw na minero, isang nakaraang problema para sa mga kumpanya ng industriya.

Ang pahayag ay nagbabasa:

"Hindi namin sinasadyang gamitin ang feature na ito sa alinmang Antminer nang walang pahintulot mula sa may-ari nito. Ito ay katulad ng remote erase o shutdown feature na ibinigay ng karamihan sa mga sikat na tagagawa ng smartphone."

Karamihan sa kamakailang buzz sa komunidad ay tungkol sa kung ang inilalarawan na "backdoor" ay maaaring ginamit para sa mga malisyosong layunin, halimbawa, upang patayin ang isang minero kung T ito sumusunod sa mga panuntunang itinakda ng Bitmain.

Nakadagdag sa pagkalito ay ang mga pag-unlad ng Bitcoin ay lubos na napolitika kamakailan, kung saan ang Bitmain ay madalas na nakaupo sa gitna ng matagal nang debate sa pag-scale ng bitcoin, na sumasalungat sa mga panukala na isinulat ng mga miyembro ng komunidad ng Bitcoin CORE . Halimbawa, ibinubunyag ang kahinaan sumusunod sa mga paratang na ang tagagawa ay gumagamit ng isang Secret na kalamangan sa pagmimina upang palakihin ang mga kita nito.

Sa pakikipag-usap sa CoinDesk, ang punong siyentipiko ng Bitcoin Unlimited na si Peter Rizun ay maaaring nagbuod ng isyu at kapaligiran sa paligid ng pinakamahusay:

"Ang drama sa social media ngayon ay pumapalibot sa tanong kung mayroong isang butas sa seguridad na magpapahintulot sa tampok na remote-control na ito na pinagsamantalahan para sa mga kasuklam-suklam na layunin."

Mga detalye ng code

Gayunpaman, tila may iba pang mga dahilan upang mag-alala tungkol sa backdoor.

Dahil maaari itong pagsamantalahan ng mga masasamang aktor mula sa labas ng kumpanya, ang mga mining chips ay tinitingnan na ngayon bilang isang panganib sa seguridad sa network. Bawat ONE hanggang 11 minuto, ayon sa open-source patch ipinakilala noong Hulyo 12, 2016, ang mga makina ay nagpapadala ng mga tawag pabalik sa isang Bitmain server.

Ang ideya ay maaaring mag-scan ang manufacturer ng pagmimina para sa pagtukoy ng impormasyon tungkol sa mining chip, kasama ang serial number at IP address nito.

Ngunit, malamang na ang pinakamalaking alalahanin ay ang code ay T limitado sa paggamit ng ilang partikular na tao o kumpanya, kaya maaari itong pagsamantalahan ng sinumang man-in-the-middle o pag-atake na nagmumula sa parehong DNS server.

"Kahit na walang Bitmain na nakakahamak, ang API ay hindi napatotohanan at papayagan ang anumang MITM, DNS o domain hijack na isara ang Antminers sa buong mundo," ang sabi ng website ng Antbleed, na higit na binabalangkas ang mga alalahanin tungkol sa potensyal para sa teknikal o pampulitika na maling paggamit.

Kahinaan o 'malisyosong' backdoor?

Inilaan man itong maging malisyoso o hindi ay tila bumubuo sa karamihan ng nakapalibot na debate, at sa ngayon, tila nasira ang damdamin sa mga linya ng scaling debate.

Gayunpaman, ang ilan ay humiwalay sa tinatawag na mga linya ng partido.

"Ito ay walang ingat sa kanila na iwanan ang hindi natapos na tampok sa code dahil ito ay kumakatawan sa isang pangunahing isyu sa seguridad," sabi ni Henry Brade, CEO ng Bitcoin service provider na Prasos, isang dating tagapagtanggol ng mga panukala sa pag-scale ng Bitcoin Core.

"Gayunpaman, batay sa pahayag na ito ay hindi tumpak na tawagan ang 'Antbleed' na may malisyoso. Ito ay isang seryosong isyu sa seguridad."

Sinabi pa ng operator ng F2pool na si Wang Chun na, T siya partikular na nag-aalala tungkol sa mga minero sa loob ng kanyang pool na nabibiktima ng manipulasyon ni Bitmain. Nabanggit niya sa pakikipag-usap sa CoinDesk na tila T ito ginamit ng kumpanya upang isara ang mga minero.

"Matagal na nilang nagagawa 'yan, pero T nila ginawa," he said.

Si Guy Corem, dating CEO ng Israeli mining chip Maker na Spondoolies-Tech, ay nagpahayag ng kontrobersya sa "kawalan ng kakayahan" at "kapabayaan", sa halip na malisyosong layunin.

"Ito ay may katuturan na gusto nilang bumuo ng ganoong tampok at makatuwiran din na T nila ito kinumpleto at tinalikuran," dagdag niya. Dagdag pa, binanggit niya ang Spondoolies-Tech's sariling mga nakaraang isyu may ninakaw na kagamitan sa pagmimina.

Gayunpaman, ang ilan sa komunidad ay may pag-aalinlangan ng Tugon ni Bitmain.

"Ang pagtanggi sa maraming tao ay hindi kapani-paniwala. Ang 'Antbleed' ay hindi bug o pagkakamali. Ang layunin ng code ay malinaw; isara ang minero sa malayong bandila," tweet ni Palatinus.

Pampublikong impormasyon?

Ang iba ay nagtaas ng mga alalahanin tungkol sa kahinaang ito na ginawang pampubliko, dahil maaaring samantalahin ng mga tagalabas ang vector ng pag-atake.

Ang kontribyutor ng Bitcoin CORE na si Matt Corallo ay nagtalo na ang mga may-ari ng mga minero ng Bitcoin na ito ay kailangang malaman ang tungkol sa potensyal na kahinaan upang maayos ito.

"Ang isyu ay isinama na ito sa isang TON ng naka-deploy na hardware," sabi niya, idinagdag:

"Iniulat ito sa Bitmain sa pamamagitan ng ulat ng bug na iyon ilang buwan na ang nakalipas, at kailangang malaman ng kanilang mga customer na protektahan ang kanilang mga operasyon mula sa mga potensyal na [man-in-the-middle attacks]."

Ang isyu ay unang naiulat sa Bitmain sa Githubhttps://github.com/bitmaintech/bmminer/issues/7 noong Setyembre 2016.

Ang ONE tanong ay kung gaano kalawak ang kasanayan sa Bitcoin. Secret backdoors parang par para sa kurso sa mundo ng Technology , kadalasang nakakakuha ng mga kritiko na may pag-iisip sa seguridad habang sila ay natuklasan. Ang ibang mga tagagawa ng hardware ba ay may parehong kahinaan? Dalawang tagagawa ng pagmimina, hindi bababa sa, ay nagsasabi na hindi nila T.

"Ang aming hardware ay T ganoong mga isyu, T kami nag-aalok ng malayuang pag-update para sa firmware - ito ang desisyon ng customer na i-update sila o hindi," sabi ng blockchain startup na Bitfury Group CIO Alex Petrov.

"Ang aking minero ay walang ASICBoost o backdoor," sinabi ni Jack Liao, CEO ng pagmimina ng LightningAsic, sa CoinDesk.

Kasama ang mga detalye tungkol sa backdoor, ang mga nakakita nito ay naglabas ng patch na nagsasara nito gamit ang isang linya ng code.

Sentralisasyon ng pagmimina

Gayunpaman, may mga nagtatagal na alalahanin na ang kahinaan ay nagpapakita ng kahinaan sa network ng Bitcoin – ibig sabihin, ito ay kakulangan ng mga gumagawa ng mining chip.

Walang malinaw na data na magagamit tungkol sa kung gaano karaming mga minero ang nagpapatakbo ng software na ito, ngunit ang Bitmain ay ONE sa pinakamalaking tagagawa ng chip sa espasyo, na may mas matapang na pagtatantya na nagmumungkahi na gumagawa ito ng 70% ng lahat ng mga mining chip.

Na ang backdoor ay maaaring gamitin upang maapektuhan ang alinman sa mga chip na iyon ay hindi nakakagulat na nakakaalarma sa mga tagapagtaguyod na ang network ay "desentralisado" at bukas sa kompetisyon na nagbibigay-daan sa iba't ibang aktor na makisali dito.

Sa ngayon, ang epekto ay tila gagawa ng aksyon ang Bitmain upang tingnan ang natitirang bahagi ng codebase nito upang makita ang iba pang mga kahinaan.

"Ang kontrobersya sa paligid ng code na ito ay nagdala sa aming pansin upang pahusayin ang disenyo upang matugunan ang mga kahinaan na itinuro ng komunidad kamakailan," sabi ng pahayag nito.

Gayunpaman, ang iba ay nagluluksa sa estado ng drama at pag-uusap sa paligid ng isyu, na binabanggit kung gaano ito kabilis na napulitika.

Nagtapos si Rizun:

"All-in-all isa pang araw sa Bitcoin."

Larawan sa pamamagitan ng Website ng AntBleed