Bitmain getur lítillega lokað antminer (og öllum öðrum)

SCP-261 Pan-dimensional Vending Machine | Safe | Food / drink scp (Júlí 2019).

Anonim

Major Bitcoin Mining vélbúnaðar framleiðandi Bitmain getur lítillega lokað næstum öllum virkum Antminer vélum. Kölluð "Antbleed" afturvirkt, misnotkun á varnarleysi gæti sennilega tapað helmingi allra hash máttur á Bitcoin netið offline.

"Jafnvel þótt Bitmain hafi ekki slæmt áform, þá er þetta bilandi öryggisgat," sagði uppspretta okkar, sem uppgötvaði afturvirkt en baðst um að vera nafnlaus.

Afturkóðann er hægt að sjá á Pastebin og á GitHub, og í dag er einnig sett upp vefsíðu fyrir Antbleed.

Hvernig það virkar

The Antbleed afturvirkt er "heimskur einfalt", eins og uppspretta okkar lýsti því.

Þegar Antminer birtist á netinu, og einu sinni á ellefu mínútum, snertir það "7000 höfn" á léninu. Minerlink. com, sem er í eigu Bitmain. Lénið tengist nú ekki við hvaða IP-tölu sem er og gerir því ekkert.

Lénið gæti hins vegar í náinni framtíð byrjað að tengjast við samsvarandi IP-tölu. Ef það gerist mun það tilkynna raðnúmerið í Antminer ásamt MAC-tölu og IP-tölu til Bitmain.

Þetta gæti verið nóg fyrir fyrirtækið að tengja vélina við tiltekna notanda.

"Bitmain getur notað þessar upplýsingar til að fara yfir athuganir á sölu viðskiptavina og afhendingarskrár sem gera það persónulega auðkennanlegt," útskýrði heimildir okkar. "Og Bitcoin námuvinnslu er lítill iðnaður, svo það ætti ekki einu sinni að vera erfitt að tengja vélina við tiltekna sundlaugar eða blokkir. "

Þegar netþjónninn Antminer er tengdur tengist miðlarinn Bitmain - sendir hann skilaboð aftur. Ef þessi skilaboð eru "sönn" mun vélin halda áfram námuvinnslu. En ef þessi skilaboð eru "ósatt", framleiðir kóðinn texta sem segir: "Hættu námuvinnslu! ! ! "

Það virðist augljóst að þessi texti myndi gera vélina að hætta námuvinnslu, sem er sannarlega staðfest af upptökum okkar, sem prófaði það á Antminer vél. Þar að auki er hægt að athuga hvort einhver hafi áhrif á námsmann; mögnuð. com útskýrir hvernig.

Hægt er að staðfesta afturvirkt, því það er embed in í opnum kóðanum. Reyndar virðist það frekar skrítið Bitmain myndi fela í sér slíka afturvirkt "út í opið", til þess að einhver sé að sjá.

Talaði við Bitcoin Magazine , Peter Todd, sem var fljót að tjá sig um málið á Twitter og Reddit, lagði til:

"Bitmain líklega vanmetið hversu mikið frumkóða er í raun endurskoðuð - það er algengt goðsögn sem kóða fær aldrei lesið. Einnig, ef þú ert að fara að bæta við afturvirkt, vilt þú trúverðug áreiðanleiki ef það finnst að finna. Felur í augljósri sýn, meðal þúsunda lína af undocumented kóða, hjálpar. Kannski Bitmain muni halda því fram að þetta sé í raun eiginleiki. "

Hvað það hefur áhrif á

Afturvirkt hefur sennilega áhrif á flestir Antminers í notkun í dag: S9, T9 R4, og L3 litecoin.

Tilboðsdagurinn gefur til kynna að afturvirkt var kynnt í júlí 2016. Þetta er ein mánuður eftir að fyrstu S9 vélarnar voru sendar. Allir vélar sem sendar hafa verið frá júlí 2016 skulu hafa afturvirkt um borð, sem þýðir að hægt er að leggja niður Bitmain. Vélar sem voru sendar fyrir júlí 2016, en hafa verið uppfærðar síðan, ætti einnig að vera viðkvæm.

"Það er erfitt að segja með fullvissu um hversu mikið harðaorka á Bitcoin netinu er háð varnarleysi," sagði uppspretta okkar. "En þar sem Bitmain er langstærsti leiðtogi vélbúnaðar vélbúnaðar, er það ekki teygja að lýsa að minnsta kosti helmingi allra harðaorku til viðkvæmra véla. Sem slíkur gæti Bitmain hugsanlega lokað gífurlegum hlutum í kjötorku Bitcoins með því að ýta á hnapp. Auk þess má fyrirtækið miða á tilteknar vélar eða viðskiptavini. "

Og það er ekki bara Bitmain sem gæti slökkt á vélunum. Vegna þess að tengingin er ósannprófuð mun kóðinn tengjast neinu sem virðist sem "auth. Minerlink. Com", sem hægt er að svikast af ákveðnum þriðja aðila. Burtséð frá Bitmain gæti það til dæmis verið netþjónn, andstæðingur-DoS þjónusta CloudFlare (notað af Bitmain) eða einhver sem getur rænt DNS færslur: fantur ICANN starfsmenn, tölvusnápur, ríkisstjórn Bandaríkjanna og fleira.

"Mjög mögulega skýringin er sú að Bitmain er óhæfur í öryggismálum, að setja allt Bitcoin netið í hættu," sagði Todd. "En í ljósi þeirrar sögu sem við höfum af ráðherrum sem ógna við árásum, myndi það ekki koma mér á óvart ef þetta var bætt við sem síðasta úrræði valkostur til að loka keppinautum ef þeir þurftu að ýta eitthvað í gegnum hestakraft. "

Uppfæra

Umboðsmaður Bitmain skrifaði ummæli um málið:

" Kóðinn sem keyrir á vélunum er opinn uppspretta, allir geta skoðað það þannig að engin leyndarmál séu til staðar í henni. Kóðinn sem bent var á er eiginleiki til að leyfa eigendum Antminers að geta stjórnað miners þeirra lítillega. Það er ekki leyndarmál og það veitir ekki nokkurs konar fjarstýringu til Bitmain fyrir Antminers sem hann er ekki eigandi eða starfræktur í eigin námum sínum. "

(Athugið: Fulltrúinn gaf þessum athugasemd smá fyrir birtingu greinarinnar, en vegna vandræða var þessi uppfærsla aðeins bætt við stuttlega eftir birtingu.)

Uppfæra

Það skal tekið fram að ef þú átt áhrif vél, festa er fáanleg á antbleed. com eins og heilbrigður.

Uppfæra

Bitmain hefur gefið út opinbert fréttatilkynningu um málið. Í því viðurkennir félagið að eiginleikinn sé til staðar, þar sem fram kemur:

"Þessi eiginleiki var ætlað að leyfa eigendum Antminer að slökkva á námsmönnum sínum sem gætu hafa verið stolið eða rænt af þjónustuveitanda þeirra og einnig veitir löggæslustofnunum meiri upplýsingar um rekja spor einhvers í slíkum tilvikum. Við ætlaðum aldrei að nota þennan möguleika á hvaða Antminer sem er án leyfis frá eiganda þess. "

Þessi saga verður uppfærð þar sem fleiri fréttir verða tiltækar.

Persónan okkar er þekktur fyrir okkur og talinn vera áreiðanlegur.