Розробники Bitcoin Core розкрили приватну вразливість, яка може відкрити IP-адресу користувача — саме ту деталь, яку вона була призначена приховувати. Виправлення з’явиться у версії 31.1.
Вада знаходиться у приватному трансляції, необов’язковій функції, доданій у версії 31.0 цього квітня. Розробники опублікували попередження 6 червня.
Як приватна помилка виходить боком
Приватна трансляція надсилає транзакції через Tor — мережу анонімності, відому доступом до темного вебу, тому отримувачі ніколи не дізнаються, звідки вони походять.
Однак офіційне попередження визнає, що ця обітниця може порушуватися.
Проблема починається, коли програма намагається встановити зашифроване з’єднання з іншим комп’ютером у мережі. Якщо ця спроба не вдається, вона тихо повторює спробу через звичайне з’єднання і повністю пропускає Tor. Одержувач бачить справжній IP-адресу відправника та його приблизне місцезнаходження.
Гірше того, атакувачам не потрібно щастя. Ворожа нода може навмисно відхилити зашифрований handshake і змусити повторити спробу розкриття.
Ризик критичний, оскільки реєстр bitcoin є публічним. Зв’язування транзакції з IP-адресою може з’єднати платежі з реальною особою.
Хто страждає та що робити
Баг стосується лише тих, хто використовує версію 31.0 і ввімкнув цю функцію. Щоденні операції з гаманцем залишаються незатронутими. Розробники вдячні досліднику Євгену Зігелю за виявлення.
Тим часом ринки майже не відреагували. Bitcoin (BTC) торгувався близько $63 700, майже без змін за останній день. Розробникам тепер доведеться вирішувати більш спокійну задачу — відновлення довіри до зусиль Bitcoin щодо конфіденційності.
До виходу версії 31.1 впливаючим користувачам слід вимкнути функцію або перенаправити весь свій трафік через Tor. Цей випадок слідує за недавньою суперечкою щодо передачі транзакцій і відновлює питання про хто підтримує Bitcoin Core.