Hace unas semanas, el desarrollador de Bitcoin Core, James Hilliard, descubrió una vulnerabilidad en el minero de firmware ASIC Antminer S15 , producido por la compañía china Bitmain. Un usuario de Twitter llamado 00whiterabbit posteriormente creó un exploit basado en los hechos establecidos por Hilliard, y el propio Hilliard publicó un video con evidencia del desempeño del error. Esto escribe la revista Bitcoin.
Hilliard está listo para proporcionar a Bitmain información sobre la vulnerabilidad, pero solo si cumple con los requisitos de la popular licencia para el software de código abierto GNU, que la compañía actualmente está violando.
"El firmware de Bitmain generalmente es bastante defectuoso " , dijo Hilliard.
Para la salud de la red Bitcoin, es importante que Bitmain pueda solucionar estos errores ".
Hilliard, mejor conocido como el autor de la propuesta de mejora de bitcoin BIP 91 utilizada para activar SegWit, descubrió una vulnerabilidad cuando estudió el archivo de firmware actualizado en el sitio de soporte de Bitmain. Afirma que el error puede afectar no solo a la última versión de firmware del minero más poderoso de Bitner para la extracción de Bitcoin usando el algoritmo SHA256 , sino también a otras versiones de software.
“Puedo decir con mucha confianza que hay otras vulnerabilidades en este firmware. Está muy mal desarrollado en términos de seguridad " , agregó.
La vulnerabilidad descrita permite el acceso de root al dispositivo. En teoría, todas las operaciones necesarias pueden llevarse a cabo de manera remota, conociendo solo la dirección IP del minero, y luego reprogramándola para establecer las configuraciones necesarias para el cracker.
Por ejemplo, con su ayuda, puede cambiar la dirección de la billetera de Bitcoin a la que se envía la criptomoneda, detener completamente la extracción o instalar su propio firmware.
En la práctica, sin embargo, es poco probable que un atacante encuentre un minero desprotegido. Para protegerse, los usuarios simplemente configuran el firewall correctamente o usan una contraseña segura. Además, para crear un firmware individual, el atacante deberá obtener acceso al código de software original.
"Un problema más serio es que el firmware de Bitmain en su conjunto contiene muchos errores ", explicó Hilliard.
Entonces, a principios de 2017, un experto en seguridad cibernética anónimo descubrió una vulnerabilidad, que más tarde se llamó Antbleed y se le permitió deshabilitar remotamente los dispositivos Antminer. El problema afectó no solo a los propietarios de los mineros, sino también a la red de Bitcoin en general, ya que podría perder repentinamente la mitad de su capacidad de computación.
"Por derecho, Bitmain debería abrir el código de su firmware", dijo Hilliard, señalando que el software de la compañía se basa en el programa cgminer que él mismo desarrolló, que respalda la política de código abierto. – Pero a Bitmain no parece importarle los derechos de autor. Desafortunadamente, el firmware de código cerrado tiene un efecto negativo en la red Bitcoin, ya que puede estar escondiendo algo como Antbleed. Este es uno de los riesgos de la centralización ".
La razón por la que Bitmain se niega a revelar el código de su software y viola los principios de GNU no es del todo evidente. Hilliard sugiere que la compañía no quiere que los usuarios configuren su propio equipo, privándolo de una posible fuente de ingresos. Otros admiten que de esta manera Bitmain protege sus dispositivos de los intrusos que pueden intentar encontrar vulnerabilidades en ellos por razones mercenarias.
Hilliard, sin embargo, no pierde la esperanza de que la situación pueda cambiar:
“En el pasado, publicaban un código que parecía real, presumiblemente bajo presión pública. Tal vez resulte ahora? "
Fecha de publicación 02.02.2019
Comparte este material en las redes sociales y deja tu opinión en los comentarios a continuación.
