Обменник

download

Баг в программном коде майнингового оборудования, произведенного китайской компанией Bitmain, ставит под угрозу более половины хеш-мощности сети биткоина.

Уязвимость в ПО майнингового оборудования Antminer была обнаружена пользователями и получила название Antbleed.

Суть бага заключается в том, что всякий раз, когда Antminer появляется в интернете (каждые 11 минут), он контактирует с портом «port 7000 service» на домене auth.minerlink.com, принадлежащем производителю майнингового оборудования Bitmain. Аппараты Antminer передают домену идентификационные данные, такие как серийный номер Antminer, а также его MAC-адрес и IP-адрес. В настоящее время домен не отправляет ответные сообщения, но теоретически такое не исключено. Если это произойдет и сервер Bitmain отправит в ответ аппарату Antminer сообщение «ложь», то программный код создаст команду «прекратить добычу». Это приведет к дистанционному отключению майнингового оборудования.

Уязвимость обнаружена в большинстве используемых в настоящее время аппаратов Antminer — S9, T9, T4, а также L3 Litecoin.

Баг появился в программном коде в июле 2016 года, спустя месяц после выпуска майнингового оборудования серии S9. Таким образом все аппараты, проданные с июля 2016 года, имеют эту уязвимость в ПО, а значит могут быть дистанционно отключены.

«Эта лазейка в BITMAINtech не предполагает никакой аутентификации: любой злоумышленник может ее активировать, около 70% хеш-мощности под угрозой», — написал один из разработчиков Bitcoin Core Питер Тодд.

 

Тодд предположил, что «в лучшем случае, со стороны Bitmain это простая некомпетентность в области безопасности, которая подвергает угрозе всю сеть биткоина». «Но учитывая историю взаимоотношений с майнерами и их угрозы осуществить атаки, я бы не удивился, если бы эта уязвимость была добавлена намеренно, как один из вариантов для отключения конкурентов», — предположил Тодд в разговоре с Bitcoin Magazine.

В Bitmain опровергают, что компания осуществляет дистанционное управление майнинговым оборудованием. В официальном комментарии Bitmain напомнили, что в открытом коде не существует секретных функций, а эта лазейка была создана для того, чтобы владельцы аппаратов Antminer могли удаленно контролировать свое оборудование.

Елена Платонова