Всё это необходимо в ходе расследования по делу о краже 200 биткоинов у разработчика Люка Дэша. Фотографию этого письма опубликовал у себя видеоблогер под ником Mike In Space.
Это мероприятие проходило ещё осенью 2022 года, буквально за несколько дней до мероприятия TABConf. Уже в начале 2023 года появилось заявление от Люка Дэша по поводу потери биткоинов. Он не сообщил сумму ущерба, зато предоставил адрес кошелька, на котором находилось на тот момент 217 биткоинов и как он сам сообщает причиной потери стала компрометация PGP-ключа. С того самого момента, как злоумышленник выкрал активы, они повысились в цене в пять раз.
Майк Шмидт высказался о том, что предоставил специальным службам все необходимые имена участников, ники и даже адреса электронных почт. От него потребовалось целый год не рассказывать никому о данном запросе. Когда прошёл целый год он решил сообщить всем участникам, которых это затронуло - эту информацию. Он сам говорит: я не обладаю никакими подробностями по расследованию и о том, являлся ли этот запрос общим сбором информации или же был обнаружен конкретный подозреваемый.
В своём интервью с The Block он добавил, что с того момента больше никаких связей с Федеральным бюро расследований у него не было. Негативно высказался по поводу случившегося и Mike In Space. Он в ироничной манере похвалил Люка и сказал, что парень рассказывающий, как именно нужно использовать биткоины не смог уберечь свои собственные, что в итоге привело к раскрытию личных данных людей с конференцией.
Ошибки в программном обеспечении
Благодаря культуре ответственного раскрытия информации разработчики Bitcoin смогли сохранить свои основные ошибки кодирования в тайне. Годами старшие разработчики просто закрывали дыры в безопасности, держа рты закрытыми, и это молчание не позволяло хакерам использовать эти уязвимости.
Однако новое движение к прозрачности раскрывает захватывающую историю ошибок кодирования в биткоине.
14 января 2021 года Аарон ван Вирдум объявил о выпуске Bitcoin Core 0.21.0, крупного обновления программного обеспечения Bitcoin Core. Владимир ван дер Лаан, тогдашний ведущий мейнтейнер Bitcoin и второй преемник Сатоши Накамото, подписал релиз программного обеспечения, который объединил более 600 запросов на извлечение в производство, и в течение следующих недель майнеры и операторы узлов вручную обновили свои полные узлы.
Перенесемся в сегодняшний день, три с половиной года назад разработчики рекомендовали операторам узлов обновиться до 0.21.0. Текущая версия Core 27.1.
Поскольку прошло уже много времени, они решили раскрыть правду об этом обновлении, которое не только добавило ряд положительных функций, но и исправило серьезные ошибки, включая ошибки, которые могли позволить хакерам украсть биткоины. Разработчики благоразумно хранили молчание, пока большинство операторов узлов не обновились до версии 0.21.0 или выше.
Сегодня версии Core, такие как 21.0 и более ранние, считаются концом жизненного цикла на языке разработчиков. Это означает, что они больше не поддерживаются, и их использование операторами узлов является минимальным. Действительно, более 90% узлов Bitcoin работают под управлением версии программного обеспечения 0.21.1 или выше. По-прежнему существует около 400 доступных узлов, которые работают под управлением версии 0.21.1 - лишь немного выше раскрытия этой недели и отказываются обновляться в течение многих лет.
Новая политика раскрытия уязвимостей
Многие разработчики Bitcoin Core приняли новую политику раскрытия уязвимостей безопасности. В начале июня многие согласились, что можно безопасно раскрывать основные проблемы безопасности, которые были исправлены не менее 1,5 лет назад. Эта политика позволяет им раскрывать ошибки безопасности вплоть до версии Bitcoin Core 24.
Они действуют обдуманно с самого начала, начиная с раскрытия на этой неделе основных ошибок, затрагивающих версию 20 и ниже. Это раскрытие касается приблизительно 426 узлов, которые доступны сегодня в публичной сети Bitcoin. Эта любопытная когорта использует четырехлетнюю версию Core 0.20.1 и подвержена недавно раскрытым ошибкам безопасности .
Вот 10 ошибок, которые разработчики Bitcoin признали на этой неделе.
- Удаленное выполнение кода из-за ошибки в miniupnpc, исправлено в Core 0.12.
- Отказ в обслуживании узла из-за сбоя со стороны нескольких одноранговых узлов с большими сообщениями, исправлено в Core 0.10.1.
- Цензура неподтвержденных транзакций, исправленная в Core 0.21.0.
- Список незащищенных блокировок Отказ в обслуживании ЦП/памяти, исправленный в Core 0.20.1.
- Netsplit из-за чрезмерной корректировки времени, исправлено в Core 0.21.0.
- Отказ в обслуживании ЦП и зависание узла из-за обработки сиротских объектов, исправлено в Core 0.18.0.
- Отказ в обслуживании памяти из-за больших сообщений «inv», исправлено в Core 0.20.0.
- Отказ в обслуживании памяти с использованием заголовков низкой сложности, исправлено в Core 0.15.0.
- Отказ в обслуживании, приводящий к потере ресурсов процессора из-за неверно сформированных запросов, исправлен в Core 0.20.0.
- Сбой памяти при анализе URI BIP72, исправлен в Core 0.20.0.
Старые, но серьезные ошибки
Большинство этих ошибок, если узел работал на старых версиях программного обеспечения Core, позволяли бы прямую кражу средств, если бы у этого узла были биткойны в сети Lightning. Например, атаки типа отказ в обслуживании и цензура транзакций позволили бы хакеру помешать узлу транслировать транзакцию правосудия, что позволило бы хакеру закрыть канал Lightning с этим узлом и украсть все его биткойны.
Одна ошибка (netsplit из-за чрезмерной корректировки времени) была еще более серьезной, так как она могла позволить злоумышленнику провести хард-форк версии Bitcoin узла и, таким образом, возможно, создать проблему двойной траты. Позже в этом месяце разработчики намерены раскрыть исправленные ошибки до версии Bitcoin Core 22.0, а в августе раскроют исправленные ошибки до версии Core v23.0.