Pengembang Bitcoin Core telah mengeluarkan peringatan tingkat tinggi baru tentang bug perangkat lunak pada satu dari setiap enam node Bitcoin.
Pada hari Kamis, pekerja di open source Bitcoin Core Proyek yang membuat perangkat lunak tetap berjalan di atas 98% dari node penuh yang dapat dijangkau, ekspos ada masalah keamanan besar dengan perangkat lunak yang berjalan di 17% jaringan.
Secara khusus, semua perangkat lunak sebelum Bitcoin Core versi 24.0.1 berisiko. Bug penolakan layanan ini mempengaruhi sekitar 3.330 dari 19.200 agen pengguna node penuh Bitcoin yang dideklarasikan sendiri yang dapat dijangkau, menurut perkiraan pengawasan dari Bitnodes.
Dalam perangkat lunak Bitcoin Core sebelum 24.0.1, pelaku kejahatan dapat mengirim spam ke node dengan rantai header dengan tingkat kesulitan rendah. Dengan memaksa node mengunduh dan menyimpan rantai header yang sangat panjang, serangan ini dapat membebani bandwidth atau penyimpanan node pada perangkat.
Pengembang menambal bug ini di nomor pull request (PR) Bitcoin Core. 25717 dan menggabungkannya ke dalam produksi pada 12 Desember 2022 dengan rilis v24.0.1. Versi perangkat lunak node Bitcoin Core saat ini, sekarang di 27.1, mencakup perbaikan ini dan perbaikan bug lainnya.
Meskipun cukup serius, beberapa eksploitasi bug ini diketahui ada dalam catatan publik. Bug ini memiliki sedikit keuntungan finansial bagi penyerang, karena relatif mahal untuk menghasilkan dan menyiarkan rantai header untuk menerapkan penolakan layanan.
Namun demikian, kerentanan keamanan ini dapat dieksploitasi oleh pihak-pihak yang sangat kaya, berkuasa atau canggih – seperti negara – yang ingin mengganggu operasi Bitcoin karena alasan non-finansial atau penundaan finansial.
Mengapa pengembang Bitcoin Core mengungkapkan bug ini
Pada awal Juni, pengembang setuju untuk mengungkapkan bug serius pada perangkat lunak Bitcoin Core yang setidaknya telah ditambal 18 bulan. Awalnya, mereka mengungkap bug di versi 20 ke bawah. (Untuk konteksnya, versi hari ini adalah 27.1.)
Namun, setiap beberapa minggu, mereka mengungkapkan lebih banyak bug perangkat lunak. Yang patut disyukuri adalah rilis ini demi kepentingan transparansi dan berkat pengungkapan sukarela dan bertanggung jawab dari pengembang.
Namun, seiring berjalannya waktu, Proyek Inti Bitcoin mengungkapkan bug yang memengaruhi versi terbaru. Rilis hari Kamis menjelaskan risiko signifikan terhadap perangkat lunak versi 24 dan sebelumnya – termasuk perangkat lunak per 18 Mei 2023.
Akibatnya, penerapan transparansi oleh pengembang Bitcoin Core, yang awalnya dianggap oleh banyak pengamat sebagai keingintahuan sejarah, dengan cepat berdampak pada masa kini.
Kecuali jika operator node Bitcoin memperbarui perangkat lunak mereka, hingga 17% jaringan mungkin berisiko terkena serangan penolakan layanan.
