Antbleed: A mais nova controvérsia do Bitcoin explicada

Uma vulnerabilidade em um chip de mineração que poderia ser usada para desligar remotamente máquinas de mineração de Bitcoin foi revelada ontem – com uma correção do fabricante logo depois.

Envolvendo o controverso fabricante de chips de mineração Bitmain, o problema é o que alguns estão chamando de "backdoor" no código que controla seu hardware, oferecendo à empresa uma maneira de desligar remotamente os mineradores. Já que o código,lançado anonimamenteontem à noite, é vulnerável a invasores, a principal preocupação é se, no pior cenário, ele pode ser mal utilizado.

O medo é que criminosos explorem a vulnerabilidade para desligar equipamentos de mineração de Bitcoin em massa e, com a Bitmain fornecendo um número tão grande de máquinas ao mercado, o impacto pode ter implicações catastróficas para o ecossistema do Bitcoin .

Conhecida como Antbleed (um título concedido pelo site que dramatizou seu lançamento), a vulnerabilidade é de código aberto, o que a torna fácil de verificar. Antes da revelação, um grupo foi informado sobre o recurso de código, com alguns desenvolvedores, como o CEO da Satoshi Labs, Marek Palatinusverificando independentementeque o backdoor existe e que pode ser usado para impedir que os mineradores da Bitmain o façam.

Bitmain rapidamenterespondeucom uma correção que apaga essa parte do firmware de mineração. Além disso, sua equipe alegou que o recurso nunca foi concluído e que tinha a intenção de ajudar os clientes a recuperar mineradores roubados, um problema passado para empresas do setor.

A declaração diz:

"Nós nunca pretendemos usar esse recurso em nenhum Antminer sem autorização do proprietário. Isso é semelhante ao recurso de apagamento ou desligamento remoto fornecido pela maioria dos fabricantes de smartphones famosos."

Grande parte do burburinho recente na comunidade gira em torno da possibilidade de o chamado "backdoor" ter sido usado para propósitos maliciosos, por exemplo, para bloquear um minerador caso ele T estivesse cumprindo as regras definidas pela Bitmain.

Para aumentar a confusão, os desenvolvimentos do Bitcoin têm sido altamente politizados ultimamente, com a Bitmain frequentemente no centro do debate de escala de longa data do bitcoin, opondo-se a propostas de autoria de membros da comunidade Bitcoin CORE . Por exemplo, a vulnerabilidade revela segue alegações que o fabricante estava usando uma vantagem Secret de mineração para aumentar seus lucros.

Em conversa com o CoinDesk, o cientista chefe do Bitcoin Unlimited, Peter Rizun, pode ter resumido melhor a questão e a atmosfera ao redor:

"O drama nas mídias sociais hoje gira em torno da questão de saber se existe uma falha de segurança que permitiria que esse recurso de controle remoto fosse explorado para propósitos nefastos."

Detalhes do código

Ainda assim, parece que há outros motivos para se preocupar com o backdoor.

Como pode ser explorado por maus atores de fora da empresa, os chips de mineração agora são vistos como um risco de segurança para a rede. A cada um a 11 minutos, de acordo com o código aberto correçãointroduzidas em 12 de julho de 2016, as máquinas enviam chamadas de volta para um servidor Bitmain.

A ideia é que o fabricante da mineração possa escanear informações de identificação sobre o chip de mineração, incluindo seu número de série e endereço IP.

Mas, sem dúvida, a maior preocupação é que o código T está limitado ao uso por certas pessoas ou empresas, então ele pode ser explorado por qualquer intermediário ou ataques vindos do mesmo servidor DNS.

"Mesmo sem que a Bitmain seja maliciosa, a API não é autenticada e permitiria que qualquer sequestro de MITM, DNS ou domínio desligasse os Antminers globalmente", diz o site da Antbleed, destacando ainda mais as preocupações sobre o potencial de uso indevido técnico ou político.

Vulnerabilidade ou backdoor "malicioso"?

Se a intenção era ou não ser malicioso parece constituir a maior parte do debate em torno disso e, até agora, parece que o sentimento se dividiu ao longo das linhas do debate sobre escala.

Ainda assim, alguns romperam com as chamadas linhas partidárias.

"Foi imprudente da parte deles deixar o recurso inacabado no código, pois isso representa um grande problema de segurança", disse Henry Brade, CEO do provedor de serviços de Bitcoin Prasos, um antigo defensor das propostas de dimensionamento do Bitcoin Core.

"No entanto, com base na declaração, não é preciso chamar 'Antbleed' de malicioso por natureza. É simplesmente um problema sério de segurança."

O operador do F2pool Wang Chun observou ainda que T está particularmente preocupado com os mineradores dentro de seu pool sendo vítimas de manipulação pela Bitmain. Ele observou em conversa com a CoinDesk que T parece que a empresa tenha usado isso para fechar mineradores.

"Eles conseguiram fazer isso por muito tempo, mas T o fizeram", disse ele.

Guy Corem, ex-CEO da Maker israelense de chips de mineração Spondoolies-Tech, atribuiu a controvérsia à "incompetência" e "negligência", e não à intenção maliciosa.

"Faz sentido que eles quisessem desenvolver tal recurso e também faz sentido que eles T o tenham completado e abandonado", ele acrescentou. Além disso, ele citou Spondoolies-Tech's problemas próprios do passadocom equipamento de mineração roubado.

Ainda assim, alguns na comunidade estãocético deResposta da Bitmain.

"A negação de muitas pessoas é inacreditável. 'Antbleed' não é um bug ou erro. O propósito do código é claro; desligar minerador em sinalizador remoto", tuitou Palatinus.

Informação pública?

Outros levantaram preocupações sobre essa vulnerabilidade se tornar pública, já que pessoas de fora podem tirar vantagem do vetor de ataque.

O colaborador do Bitcoin CORE, Matt Corallo, argumentou que os proprietários desses mineradores de Bitcoin precisavam saber sobre a potencial vulnerabilidade para corrigi-la.

"O problema é que ele já está integrado em uma TON de hardware implantado", disse ele, acrescentando:

"Isso foi relatado à Bitmain por meio daquele relatório de bug meses atrás, e seus clientes precisam saber para proteger suas operações de potenciais [ataques do tipo man-in-the-middle]."

O problema foi relatado pela primeira vez à Bitmain no Github https://github.com/bitmaintech/bmminer/issues/7 em setembro de 2016.

Uma questão é quão prevalente é a prática no Bitcoin. Secret portas dos fundos parecem ser comuns no mundo da Tecnologia , frequentemente atraindo críticos preocupados com a segurança à medida que são descobertos. Outros fabricantes de hardware têm a mesma vulnerabilidade? Dois fabricantes de mineração, pelo menos, afirmam que T.

"Nosso hardware T [tem] tais problemas, nós [T] oferecemos atualização remota de firmware – é decisão do cliente atualizá-lo ou não", disse o CIO da startup de blockchain Bitfury Group, Alex Petrov.

"Meu minerador não tem ASICBoost ou backdoor", disse Jack Liao, CEO da mineração LightningAsic, ao CoinDesk.

Junto com os detalhes sobre o backdoor, aqueles que o detectaram lançaram um patch que o fecha com uma única linha de código.

Centralização da mineração

Ainda assim, há preocupações persistentes de que a vulnerabilidade revele uma fraqueza na rede Bitcoin – ou seja, a falta de fabricantes de chips de mineração.

Não há dados claros disponíveis sobre quantos mineradores estão executando este software, mas a Bitmain é uma das maiores fabricantes de chips do setor, com estimativas mais ousadas sugerindo que ela produz 70% de todos os chips de mineração.

O fato de o backdoor poder ser usado para impactar qualquer um desses chips é, sem surpresa, alarmante para os defensores de que a rede seja "descentralizada" e aberta à competição, o que permite que diferentes atores se envolvam nela.

Por enquanto, o impacto parece ser que a Bitmain tomará medidas para analisar o restante de sua base de código a fim de detectar outras vulnerabilidades.

"A controvérsia em torno deste código chamou nossa atenção para melhorar o design a fim de abordar vulnerabilidades que foram apontadas pela comunidade recentemente", diz a declaração.

Ainda assim, outros lamentam o estado do drama e da conversa em torno do assunto, observando o quão rápido ele se tornou politizado.

Rizun concluiu:

"No geral, apenas mais um dia no Bitcoin."

Imagem viaSite AntBleed