Puntos clave
Aproximadamente el 6% de los nodos de Bitcoin utilizan software program obsoleto, lo que los expone a riesgos de seguridad. La nueva política de divulgación de Bitcoin Core tiene como objetivo mejorar la seguridad de la pink a través de la transparencia.
Comparte este artículo
A lo largo de su historial de actualizaciones, los desarrolladores de Bitcoin Core solo han revelado 10 vulnerabilidades que podrían afectar a versiones anteriores del software program cliente de Bitcoin. Según un informe de Bitcoin Optech, estas vulnerabilidades, aunque ya se han corregido en versiones más recientes, podrían haber permitido varios ataques a nodos que ejecutan versiones obsoletas de Bitcoin Core.
Este informe llega cuando los desarrolladores introdujeron una nueva política de divulgación de seguridad para mejorar la transparencia y la comunicación entre el equipo y los usuarios públicos de Bitcoin.
“Históricamente, el proyecto ha hecho un trabajo deficiente a la hora de divulgar públicamente errores críticos para la seguridad, ya sean informados externamente o encontrados por los colaboradores. Esto ha llevado a una situación en la que muchos usuarios perciben que Bitcoin Core nunca tiene errores. Esta percepción es peligrosa y, lamentablemente, no es precisa”, afirma el anuncio, escrito por Antoine Poinsot para la lista de correo de desarrollo de Bitcoin.
Según un análisis escrito por Liam Wright de CryptoSlate, aproximadamente 787 nodos, o el 5,94% de los 14.001 nodos activos de Bitcoin, están ejecutando versiones anteriores a la 0.21.0, lo que los hace susceptibles a ciertas vulnerabilidades. La vulnerabilidad más extendida afecta a las versiones anteriores a la 0.21.0, lo que potencialmente permite la censura de transacciones no confirmadas y causa divisiones de pink debido a ajustes de tiempo excesivos.
Otras vulnerabilidades significativas incluyen una lista de prohibición no vinculada de denegación de servicio (DoS) de CPU/memoria (CVE-2020-14198) que afecta a 185 nodos que ejecutan versiones anteriores a la 0.20.1, y tres vulnerabilidades independientes que afectan a 182 nodos cada una en versiones anteriores a la 0.20.0. Estas incluyen denegación de servicio de memoria por mensajes de entrada de gran tamaño, denegación de servicio de CPU por solicitudes malformadas y fallas relacionadas con la memoria al analizar las URL de BIP72.
Las vulnerabilidades más antiguas descubiertas se remontan a 2015 y afectaron a muy pocos nodos que ejecutaban este software program obsoleto. Entre ellas se incluyen un error de ejecución de código remoto en miniupnpc (CVE-2015-6031) y un ataque de denegación de servicio (DoS) por caída de nodos a causa de mensajes de gran tamaño (CVE-2015-3641), que afectaron a 22 y 5 nodos respectivamente.
El nuevo sistema de divulgación clasifica las vulnerabilidades en cuatro niveles de gravedad y establece plazos específicos para la divulgación en función de la gravedad. Esta iniciativa tiene como objetivo establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable de las vulnerabilidades.
Si bien el porcentaje de nodos vulnerables no es un problema crítico inmediato, representa una porción no trivial de la pink que podría ser explotada. Esta revelación, en explicit, destaca la necesidad de una mejor comunicación e incentivos dentro de la comunidad de Bitcoin para alentar actualizaciones de software program más frecuentes y mejorar la seguridad common de la pink. En explicit, los errores críticos requerirán un procedimiento advert hoc.
Esta adopción gradual comenzará con la divulgación de las vulnerabilidades corregidas en las versiones 0.21.0 y anteriores de Bitcoin Core, seguidas de las corregidas en las versiones posteriores en los próximos meses. La política tiene como objetivo establecer expectativas claras para los investigadores de seguridad e incentivar la divulgación responsable.
Comparte este artículo
