gbianchi (OP)
Legendary
 Offline
Activity: 3122
Merit: 2680
|
 |
September 21, 2018, 05:03:25 AM
Last edit: September 25, 2018, 08:54:24 AM by gbianchi |
|
Per chi usa Bitcoin core, vi faccio notare la NECESSITA' di upgrade alla 0.16.3
come indicato nelle news in alto nel forum, upgrade di particolare importanza
se avete un full node.
Sottolineo inoltre che nella marea di alt-coin create fondamentalmente
copiando e facendo piccole modifiche a core questo problema potrebbe
essere particolarmente pesante, se gli sviluppatori non gestiscono velocemente
il problema.
|
|
|
|
arulbero
Legendary
Offline
Activity: 1915
Merit: 2074
|
|
September 21, 2018, 04:28:38 PM |
|
Articolo in italiano sulla vicenda: https://it.cointelegraph.com/news/bitcoin-core-update-fixes-vulnerability-that-reportedly-could-crash-network-for-80-000Personalmente, visto che utilizzo Bitcoin Core solo di tanto in tanto, preferisco tenerlo spento fino alla nuova versione 0.17 che dovrebbe uscire a giorni. Certo che i bug ci sono proprio dappertutto, il codice di Core è tra i più studiati in assoluto eppure ancora oggi si scoprono bug importanti. Se qualcuno fosse riuscito a far crashare la rete penso che si sarebbe creato un bel danno di immagine per l'intero ecosistema, ma comunque nulla di irreparabile. |
|
|
|
|
Speculatoross
Sr. Member
Offline
Activity: 490
Merit: 353
this is not a bounty avatar
|
|
September 21, 2018, 05:32:45 PM |
|
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 22, 2018, 01:26:52 AM |
|
Certo che i bug ci sono proprio dappertutto, il codice di Core è tra i più studiati in assoluto eppure ancora oggi si scoprono bug importanti. Se qualcuno fosse riuscito a far crashare la rete penso che si sarebbe creato un bel danno di immagine per l'intero ecosistema, ma comunque nulla di irreparabile.
ancora ci sono un sacco di nodi non aggiornati... non siamo completamente fuori pericolo... https://bitnodes.earn.com/nodes/live-map/ |
|
|
|
|
|
|
Makkara
|
|
September 22, 2018, 04:58:05 AM |
|
Oltre il danno la beffa, saranno contenti i duri e puri. |
|
|
|
|
asdlolciterquit
|
|
September 22, 2018, 08:48:58 AM |
|
Certo che i bug ci sono proprio dappertutto, il codice di Core è tra i più studiati in assoluto eppure ancora oggi si scoprono bug importanti. Se qualcuno fosse riuscito a far crashare la rete penso che si sarebbe creato un bel danno di immagine per l'intero ecosistema, ma comunque nulla di irreparabile.
ancora ci sono un sacco di nodi non aggiornati... non siamo completamente fuori pericolo... https://bitnodes.earn.com/nodes/live-map/quando ci si potrà dire fuori pericolo? al momento vedo meno del 25% dei nodi con 0.16.3, mi sembra piuttosto poco.. |
|
|
|
|
arulbero
Legendary
Offline
Activity: 1915
Merit: 2074
|
|
September 22, 2018, 01:23:25 PM |
|
Quindi riassumendo il bug consiste in un'ottimizzazione introdotta in Core un paio di anni fa, che eliminava il controllo sulla doppia spesa all'interno dei blocchi. Il controllo che gli stessi input non venissero spesi più volte da un paio di anni viene sempre fatto a livello di mempool (quindi da tutti i full node che propagano le transazioni non confermate) ma non viene ripetuto dagli stessi quando arriva un nuovo blocco. Quindi in teoria un miner malevolo poteva (può?) creare nuova moneta dal nulla.  E' veramente un bug grave, altrochè, e non siamo per niente fuori pericolo, la maggioranza dei nodi non ha ancora aggiornato e quindi al momento bisogna stare veramente attenti ad accettare pagamenti in bitcoin, anche se questi hanno ricevuto varie conferme. Mi viene anche da pensare però che se avessero creato, non so, 100 btc in più dal nulla, qualcuno nella rete comunque se ne sarebbe accorto subito, poichè il bilancio totale degli utxo viene costantemente monitorato, ed è facilmente verificabile (50 btc per blocco nel primo periodo + 25 per blocco nel secondo +12 btc per blocco nel terzo periodo ...) se la somma non torna, essendo essa una funzione nota appunto della lunghezza della catena. |
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 22, 2018, 04:55:44 PM |
|
E' veramente un bug grave, altrochè, e non siamo per niente fuori pericolo, la maggioranza dei nodi non ha ancora aggiornato e quindi al momento bisogna stare veramente attenti ad accettare pagamenti in bitcoin, anche se questi hanno ricevuto varie conferme. theymos sostiene che e' il peggiore dal 2010. https://bitcointalk.org/index.php?topic=178336.msg45966957#msg45966957cosi' come becera riflessione: tutti sono li' a morire dietro sta' storia degli ETF, che fondamentalmente con bitcoin non c'entrano un cazzo, poi esce uno dei peggiori bug della storia e manco se ne accorgono... |
|
|
|
arulbero
Legendary
Offline
Activity: 1915
Merit: 2074
|
|
September 22, 2018, 05:06:05 PM |
|
Qui lo stesso theymos approfondisce meglio: https://bitcointalk.org/index.php?topic=5035144.msg46014777Se provate a leggere di seguito l'articolo https://medium.com/@awemany/600-microseconds-b70f87b0b2a6 dello scopritore del bug, trovate un punto comune molto interessante tra i 2 articoli: c'è un grosso problema nel modello dello sviluppo di Core. In pratica non è un caso che sia saltato fuori un bug di queste proporzioni, e lo stesso theymos si chiede, visto che i bug comunque ci saranno sempre, se non sia più sicuro avere diversi client (sperando che i bug si disperdano con effetti meno deleteri per la rete) piuttosto che concentrarsi su uno unico client, dove un unico bug mette a rischio tutta la rete. |
|
|
|
|
|
Piggy
|
|
September 22, 2018, 08:21:40 PM |
|
The solution to this is simple, and it is that the blockchain (whose tip contains the most cumulative work) that follows all of the consensus rules is the Bitcoin blockchain, and any fork of this is not (in many cases, it would be an altcoin intentionally created).
The complexity comes in ensuring that the network is no longer partitioned and that everyone has received the blockchain with the most cumulative work. The incentive to attack an implementation that is used by 10%-20% of the Bitcoin network is much smaller than the incentive to attack an implementation that affects 90% of the network. The further would be a minor hiccup, while the later has the potential to actually steal large amounts of money, and cause serious disruptions.
I disagree. Suppose there is an exchange that happens to be connected to some nodes that are vulnerable to some kind of attack. Or perhaps they aren't connected directly to those nodes, but connected to node which are connected to those nodes. Suppose this attack causes those nodes to go offline or otherwise become disconnected from the network. Even if there are a very small number of these vulnerable nodes, if they happen to form a ring around the exchange, an attacker can attack those nodes and cause the network to partition. It would break into at least two pieces: the chunk containing the exchange, and the rest of the network. The attacker, if he has some hashrate, can now be mining a fork of the blockchain specifically created so that he can attack this exchange. Since this is a fork for a part of the network that is no longer receiving the rest of the blockchain, this attacker has 100% of the hashrate for that fork and can do everything with it that anyone with >51% of the hashrate can do. This kind of attack does not need a large number of nodes to be vulnerable, it just needs enough so that an attacker can partition the network. Non vorrei dire fesserie ma, in questo caso non sarebbe invece piu semplice per gli exchange evitare queati tipi di attacchi visto che potrebbero avere magari 2 o 3 versioni diverse controllando che coincidano e bloccando tutto nel caso comincino ad esserci delle discrepanze? Se ci fossero piu versioni ed un exchange o chiunque altro si affidasse ad una sola versione allora tanto vale continuare con una versione unica come si fa ora. |
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 23, 2018, 05:13:24 PM |
|
e' interessante anche questo dato: nonostante sia noto ormai da diversi giorni il bug grave di Bitcoin Core,
ad oggi solo il 26% dei nodi full ha eseguito l'upgrade alla 0.16.3
Pensavo che chi ha un full node avrebbe reagito piu' velocemente al possibile pericolo,
ma evidentemente non e' cosi'.
|
|
|
|
|
asdlolciterquit
|
|
September 23, 2018, 06:23:09 PM |
|
E' veramente un bug grave, altrochè, e non siamo per niente fuori pericolo, la maggioranza dei nodi non ha ancora aggiornato e quindi al momento bisogna stare veramente attenti ad accettare pagamenti in bitcoin, anche se questi hanno ricevuto varie conferme. theymos sostiene che e' il peggiore dal 2010. https://bitcointalk.org/index.php?topic=178336.msg45966957#msg45966957cosi' come becera riflessione: tutti sono li' a morire dietro sta' storia degli ETF, che fondamentalmente con bitcoin non c'entrano un cazzo, poi esce uno dei peggiori bug della storia e manco se ne accorgono... detto tra noi, non mi stupisce. Purtroppo, il btc sta diventando sempre di più uno strumento finanziario e basta, come ho evidenziato altre volte. Sono quelle le notizie che tirano, principalmente. |
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 23, 2018, 07:13:03 PM |
|
questa tabella riporta dati piu' rassicuranti: (scrollare fino a "Bitcoin Node Versions") https://coin.dance/nodes#shareun 45% dei nodi protetti. |
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 25, 2018, 05:23:37 AM |
|
siamo al 47% dei nodi protetti.
quindi otto giorni dopo aver scoperto il bug, ancora la maggioranza dei
full node e' esposta ad un eventuale attacco.
|
|
|
|
alexrossi
Legendary
Offline
Activity: 3780
Merit: 1742
Join the world-leading crypto sportsbook NOW!
|
|
September 25, 2018, 07:35:33 AM |
|
47% dei nodi dopo pochi giorni comunque mi sembra un risultato niente male, considerata la natura della rete
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 25, 2018, 07:59:42 AM |
|
47% dei nodi dopo pochi giorni comunque mi sembra un risultato niente male, considerata la natura della rete
boh a me fa riflettere... in pratica da otto giorni l'esistenza del bug e' di pubblico dominio, quindi supponiamo che dal giorno dopo ossia dal 18 settembre un malintenzionato abbia iniziato a progettare un attacco, ha avuto ben una settimana per scrivere codice, fare prove... e avrebbe ancora campo libero per portare un attacco probabilmente con esiti infausti. per una rete che vale piu' di 100 miliardi di dollari non mi sembra un granche'. |
|
|
|
alexrossi
Legendary
Offline
Activity: 3780
Merit: 1742
Join the world-leading crypto sportsbook NOW!
|
|
September 25, 2018, 08:32:45 AM |
|
47% dei nodi dopo pochi giorni comunque mi sembra un risultato niente male, considerata la natura della rete
boh a me fa riflettere... in pratica da otto giorni l'esistenza del bug e' di pubblico dominio, quindi supponiamo che dal giorno dopo ossia dal 18 settembre un malintenzionato abbia iniziato a progettare un attacco, ha avuto ben una settimana per scrivere codice, fare prove... e avrebbe ancora campo libero per portare un attacco probabilmente con esiti infausti. per una rete che vale piu' di 100 miliardi di dollari non mi sembra un granche'. Chi non ha aggiornato potrebbe avere monete ferme da tempo e quindi non suscettibili all'attacco |
|
|
|
arulbero
Legendary
Offline
Activity: 1915
Merit: 2074
|
|
September 25, 2018, 03:30:51 PM |
|
Da qualche tempo è stato disattivato il sistema di notifica automatico di Core, per cui chi sta facendo girare un nodo e non controlla molto spesso siti come bitcointalk non è detto che sia a conoscenza del bug.
In più non bisogna dimenticarsi che uno può far girare un nodo anche per un motivo soprattutto egoistico (essere sicuro delle transazioni ricevute), e se come dice alexrossi io in questo periodo non aspetto pagamenti, non ho incentivi particolari per sbrigarmi a mettere le cose a posto.
In una situazione come quella che si è creata con questo bug viene alla luce come l'interesse personale (l'importante è essere sicuro delle mie transazioni quando mi serve) e quello globale della rete (avere un unico registro condiviso in ogni momento dell'anno) non sempre coincidano.
|
|
|
|
|
gbianchi (OP)
Legendary
Offline
Activity: 3122
Merit: 2680
|
|
September 25, 2018, 03:52:36 PM |
|
Da qualche tempo è stato disattivato il sistema di notifica automatico di Core, per cui chi sta facendo girare un nodo e non controlla molto spesso siti come bitcointalk non è detto che sia a conoscenza del bug.
In più non bisogna dimenticarsi che uno può far girare un nodo anche per un motivo soprattutto egoistico (essere sicuro delle transazioni ricevute), e se come dice alexrossi io in questo periodo non aspetto pagamenti, non ho incentivi particolari per sbrigarmi a mettere le cose a posto.
In una situazione come quella che si è creata con questo bug viene alla luce come l'interesse personale (l'importante è essere sicuro delle mie transazioni quando mi serve) e quello globale della rete (avere un unico registro condiviso in ogni momento dell'anno) non sempre coincidano.
Di motivazioni ne posso trovare a decine, alcune anche piu' subdole, ad esempio se uno ha sia nodi Bitcoin core e Bitcoin cash, e per qualche motivo suo tifa bitcoin Cash, propio non lo fa di proposito l'upgrade. Oppure i seguaci di bitcoin cash possono installare nuovi nodi core col bug per "allungare" il tempo in cui almeno la maggioranza dei nodi sara' corretta. I motivi ci intereassano relativamente, quello che ci interessa e' il dato oggettivo, ossia la lentezza di risposta ad un problema critico. Questa lentezza di adeguamento mi fa dubitare di quanto possa funzionare "il modello", nel senso che piu' la rete cresce, piu' sara' lenta a recepire modifiche. Supponiamo che fra due anni ci siano 20.000 full node e viene fuori un altro bug cosi' pesante, e che la rete ci metta 1 mese ad adeguarsi, esponendo nel frattempo tutti i partecipanti ad un lungo periodo di "dita incrociate e speriamo in dio", come fondamentalmente sta succedento tutt'ora, mentre scrivo. Come modello di sicurezza e di "store of value" non mi pare il massimo. |
|
|
|
|
