BITCOIN CORE

[Husna QA]

Kebijakan pengungkapan keamanan Bitcoin Core

https://bitcoincore.org/en/security-advisories/

https://groups.google.com/g/bitcoindev/c/Q2ZGit2wF7w

Selama ini, security-critical bug yang ada di Bitcoin Core jarang terungkap ke publik, baik itu yang dilaporkan secara eksternal maupun yang ditemukan oleh kontributor Bitcoin Core. Jadi, banyak user yang menganggap kalau Bitcoin Core itu jarang memilki bug, padahal persepsi ini cukup berbahaya sehingga mereka tidak menyadari terhadap bug pada Bitcoin Core yang mereka gunakan terutama versi yang sudah cukup lawas.

-snip-
The vulnerabilities disclosed today were fixed in 0.21 and earlier. At the end of July, those that were fixed in 22.0 will be published, in August, 23.0, and so on until there are no remaining undisclosed vulnerabilities in end of life Bitcoin Core versions.

Past Security Advisories

Disclosure of crash due to malicious BIP72 URI (≤ version 0.19.2)
The BIP70 implementation in Bitcoin Core could silently crash when opening a BIP72 URI.

Disclosure of CPU DoS due to malicious P2P message (≤ version 0.19.2)
A malformed GETDATA message could trigger an infinite loop on the receiving node, using 100% of the CPU allocated to this thread.

Disclosure of memory DoS using low-difficulty headers (≤ version 0.14.3)
After Bitcoin Core 0.12.0 and before Bitcoin Core 0.15.0 a node could be spammed with minimum difficulty headers, which could possibly be leveraged to crash it by OOM.

Disclosure of memory DoS due to malicious P2P message (≤ version 0.19.2)
Public disclosure of a DoS vulnerability affecting old versions of Bitcoin Core

Disclosure of CPU DoS / stalling due to malicious P2P message (≤ version 0.17.2)
A node could be stalled for hours when processing the orphans of a specially crafted unconfirmed transaction.

Disclosure of netsplit due to malicious P2P messages by first 200 peers (≤ version 0.20.1)
Disclosure of the details of an integer overflow bug which risked causing a network split.

Disclosure of CPU/memory DoS due to many malicious peers (≤ version 0.20.0)
Bitcoin Core maintained an unlimited list of banned IP addresses and performed a quadratic operation on it. This could lead to an OOM crash and a CPU Dos.

Disclosure of censoring unconfirmed transactions to a specific victim (≤ version 0.20.2)
Public disclosure of a transaction relay censorship vulnerability affecting old versions of Bitcoin Core.

Disclosure of memory DoS due to malicious P2P message from many peers (≤ version 0.10.0)
A node could be forced to allocate large buffers when receiving a message, which could be leveraged to remotely crash it by OOM.

Disclosure of potential remote code execution due to bug in miniupnpc (≤ version 0.11.1)
Public disclosure of a buffer overflow in miniupnpc which could have led to a remote code execution in Bitcoin Core.

CVE-2017-18350 Disclosure
Disclosure of the details of CVE-2017-18350, a fix for which was released on November 6th, 2017 in Bitcoin Core version 0.15.1.

CVE-2018-17144 Full Disclosure
A full disclosure of the impact of CVE-2018-17144, a fix for which was released on September 18th in Bitcoin Core versions 0.16.3 and 0.17.0RC4.

[Not your key not your BTC]

Saya telah full synced download bitcoin blockchain, tapi masih bingung cara menjalankan nodenya biar ada di list ini: https://bitnodes.io/#join-the-network

[punk.zink]

Saya telah full synced download bitcoin blockchain, tapi masih bingung cara menjalankan nodenya biar ada di list ini: https://bitnodes.io/#join-the-network

Yang agan maksud berarti menjalankan client menjadi "Listening Node", yakni Node Bitcoin yang disetting open port dengan tujuan akan mengijinkan setiap inbound connection dari node-node lainnya sehingga node tersebut bisa mendowload data blockchain melalui listening node milik agan.

Parameter yang mesti dituliskan pada bitcoin.conf adalah listen=1, dan kemungkinan besar akan diperlukan pengaturan "port forwarding" (Open port 8333) pada modem internet yang agan gunakan. Jika setelah kedua pengaturan tersebut dilakukan, namun ternyata Node milik agan masih tidak dikenali oleh bitnodes.io, maka agan juga harus melakukan open port pada firewall di perangkat milik agan.

Dengan menjadi Listening Node, maka agan memberikan kontribusi yang besar pada jaringan Bitcoin, namun disisi lain agan juga akan mengekspos IP milik agan, untuk itu untuk kebutuhan privacy sebaiknya menjalankan Listening Node melalui TOR atau VPN.

[Not your key not your BTC]

Saya telah full synced download bitcoin blockchain, tapi masih bingung cara menjalankan nodenya biar ada di list ini: https://bitnodes.io/#join-the-network

Yang agan maksud berarti menjalankan client menjadi "Listening Node", yakni Node Bitcoin yang disetting open port dengan tujuan akan mengijinkan setiap inbound connection dari node-node lainnya sehingga node tersebut bisa mendowload data blockchain melalui listening node milik agan.

Parameter yang mesti dituliskan pada bitcoin.conf adalah listen=1, dan kemungkinan besar akan diperlukan pengaturan "port forwarding" (Open port 8333) pada modem internet yang agan gunakan. Jika setelah kedua pengaturan tersebut dilakukan, namun ternyata Node milik agan masih tidak dikenali oleh bitnodes.io, maka agan juga harus melakukan open port pada firewall di perangkat milik agan.

Dengan menjadi Listening Node, maka agan memberikan kontribusi yang besar pada jaringan Bitcoin, namun disisi lain agan juga akan mengekspos IP milik agan, untuk itu untuk kebutuhan privacy sebaiknya menjalankan Listening Node melalui TOR atau VPN.

Sepertinya memang ada resiko dan memerlukan banyak resource untuk "Listening Node", mungkin ane akan pikir-pikir dulu bagaimana baiknya. Soalnya dengan menjalankan bitcoin core "seadanya" itu saja saya sudah cukup berkontribusi di jaringan bitcoin kalau berdasarkan komentar di thread ane ini.

[abhiseshakana]

Sepertinya memang ada resiko dan memerlukan banyak resource untuk "Listening Node", mungkin ane akan pikir-pikir dulu bagaimana baiknya. Soalnya dengan menjalankan bitcoin core "seadanya" itu saja saya sudah cukup berkontribusi di jaringan bitcoin kalau berdasarkan komentar di thread ane ini.

Resikonya IP akan terekspos yang sebenarnya masih bisa diakali dengan penggunaan vpn dan tor untuk tetap menjaga privacy. Sementara kalo untuk penggunaan resource sepertinya sama saja dengan agan menjalankan node pada umumnya (tidak menjadi listening node), yang berbeda cuma agan harus melakukan pengaturan yang cukup njlimet.

Btw, saya pernah memberikan tutorial bagaimana caranya untuk menjalankan listening node

Tips/Guide Bitcoin Core Client menjadi Listening Node supaya bisa ikut berkontribusi didalam jaringan P2P Bitcoin (membukan koneksi dengan node-node lainnya (SPV maupun Fullnode))

- Pertama-tama Jalankan Bitcoin core sampai proses sinkronisasi selesai
- Cek di https://bitnodes.io/ (pada bagian Join the Network) jika node (IP:8333) tidak terbaca ( unreachable) maka perlu dilakukan port forwarding (port: 8333) dan memastikan firewall tidak memblocking port tersebut

- Port Forwarding 8333 pada modem

• Terlebih dahulu agan harus membuat fixed local IP pada ethernet adapter yang digunakan (mengatur IP manual melalui protocol IPv4)
• Buka pengaturan Modem dan cari opsi port forwarding (masing-masing modem memiliki cara yang berbeda-beda, jadi sebaiknya cari tutorialnya di google)
• Secara garis besar masukkan parameter port forwarding dibawah ini
  
  • Internal Host / Host IP Address : Masukkan Fixed IP yang dibuat melalui protocol IPv4
  • Name : Bebas (contoh: Bitcoin Core Open Port)
  • Protocol : TCP
  • Internal Port / Host Port : baik start maupun end gunakan port 8333
  • External Port / WAN Port : baik start maupun end gunakan port 8333
  • Lalu Save pengaturan Modem

- Open port pada Firewall

• Untuk pengguna windows firewall bisa melihat tutorialnya disini https://www.windowscentral.com/how-open-port-windows-firewall
• Untuk firewall yang dikontrol oleh Anti-Virus silahkan cari tutorialnya di google
• Secara garis besar yang perlu dirubah pada AV Firewall adalah
  
  • Menambahkan rules untuk program Bitcoin Core
  • Protocol : TCP
  • Allow inbound/outbound Connection

- Jika pengaturan open port (8333) berhasil maka node akan terkoneksi dengan https://bitnodes.io/ (IP+Port 8333 dan jenis client akan terdeteksi pada kolom berwarna hijau)

- Jika dicek pada node Bitcoin Core maka akan tertampil jumlah node yang terkoneksi pada inbound connections

[Not your key not your BTC]

Resikonya IP akan terekspos yang sebenarnya masih bisa diakali dengan penggunaan vpn dan tor untuk tetap menjaga privacy.

Apakah dengan mengekspose IP address akan tahu siapa jati diri kita?, soalnya kan itu cuma IP dengan nomor-nomor tdk jelas dan tidak menginformasikan alamat rumah kita dengan detil.

[Husna QA]

Resikonya IP akan terekspos yang sebenarnya masih bisa diakali dengan penggunaan vpn dan tor untuk tetap menjaga privacy.

Apakah dengan mengekspose IP address akan tahu siapa jati diri kita?, soalnya kan itu cuma IP dengan nomor-nomor tdk jelas dan tidak menginformasikan alamat rumah kita dengan detil.

Ketika IP address terekspos, maka bisa saja dilacak melalui tool semisal di https://whatismyipaddress.com/, https://smartproxy.com/what-is-my-ip atau lainnya. Mengenai identitas lengkap alamat mungkin saja tidak ditemukan, namun dampak lain yang mungkin perlu di waspadai adalah penyalahgunaannya untuk tujuan lain semisal digunakan oleh penjahat siber dengan menyamar menggunakan IP tersebut atau bahkan bisa terkoneksi dengan perangkat agan dan digunakan untuk hal illegal.

Btw, dulu saya sempat mencoba men-setting listening node di Bitcoin Core dan menggunakan Tor untuk menjaga privasi dari IP address:

Kalau saya pribadi menggunakan pengaturan yang sederhana, dengan mengaktifkan UPnP (Universal Plug and Play) di router dan juga di settingan Network pada Bitcoin Core, sementara untuk koneksinya saya gunakan Tor untuk menambah privasi.







Entah masih ada settingan yang keliru atau bagaimana, karena outbound nya tidak ada satupun, yang ada hanya Inbound nya.

[punk.zink]

Apakah dengan mengekspose IP address akan tahu siapa jati diri kita?, soalnya kan itu cuma IP dengan nomor-nomor tdk jelas dan tidak menginformasikan alamat rumah kita dengan detil.

IP memang tidak benar-benar memberikan informasi sensitif terkait dengan alamat rumah, namun jika IP terekspos terlebih jika itu jatuh ketangan oknum yang tidak bertanggung jawab (peretas), maka tidak akan sulit bagi oknum tersebut untuk mengetahui lokasi dari pemilik IP tersebut, atau bisa juga menjadi jalan bagi oknum tersebut untuk melakukan upaya peretasan, maupun melancarkan DDoS.

Bukan untuk menakut-nakuti, namun jika memang agan ingin menjalankan Listening Node, sebaiknya lakukan itu diatas jaringan anonim sehingga privacy bisa selalu terjaga.

Sebenarnya tanpa harus menjadi supernodes (listening node) dan hanya sekedar menjalankan Full Node maupun pruned node, agan sudah melakukan kontribusi di jaringan Bitcoin dengan cara turut serta melakukan validasi terhadap seluruh data Blockchain.

[Not your key not your BTC]

Ketika IP address terekspos, maka bisa saja dilacak melalui tool semisal di https://whatismyipaddress.com/, https://smartproxy.com/what-is-my-ip atau lainnya. Mengenai identitas lengkap alamat mungkin saja tidak ditemukan, namun dampak lain yang mungkin perlu di waspadai adalah penyalahgunaannya untuk tujuan lain semisal digunakan oleh penjahat siber dengan menyamar menggunakan IP tersebut atau bahkan bisa terkoneksi dengan perangkat agan dan digunakan untuk hal illegal.

Ya ane juga sering mendengar hal ini, bahkan di beberapa video di youtube ada penjahat di dark web yang memakai IP address pengguna lain untuk mengelabuhi polisi.

Sebenarnya tanpa harus menjadi supernodes (listening node) dan hanya sekedar menjalankan Full Node maupun pruned node, agan sudah melakukan kontribusi di jaringan Bitcoin dengan cara turut serta melakukan validasi terhadap seluruh data Blockchain.

Setahun belakangan ini sudah saya lakukan di bitcoin core. Nanti akan saya coba dulu, sekiranya memang tidak bisa, paling cuma running node doang.

[Chikito]

Ketika IP address terekspos, maka bisa saja dilacak melalui tool semisal di https://whatismyipaddress.com/, https://smartproxy.com/what-is-my-ip atau lainnya. Mengenai identitas lengkap alamat mungkin saja tidak ditemukan, namun dampak lain yang mungkin perlu di waspadai adalah penyalahgunaannya untuk tujuan lain semisal digunakan oleh penjahat siber dengan menyamar menggunakan IP tersebut atau bahkan bisa terkoneksi dengan perangkat agan dan digunakan untuk hal illegal.

Ya ane juga sering mendengar hal ini, bahkan di beberapa video di youtube ada penjahat di dark web yang memakai IP address pengguna lain untuk mengelabuhi polisi.

Saya rasa tidak segampang itu untuk mengetahui alamat pengguna dengan hanya bermodalkan IP address saja, setidaknya butuh juga beberapa hal lain yang harus diketahui hacker semisal alamat yang ada di KTP. Dari IP address mungkin hacker hanya akan dapat memasuki komputer bersangkutan dan mencari data-data penting di komputer tersebut. Jadi ya harus hati-hati jika menyimpan sesuatu yang penting di komputer, usahakan memindahkan semua apa yang ada jika memang IP address secara tidak sengaja terekspose. Bila perlu wallet.dat bitcoin core dibedakan antara komputer untuk menjalankan node dengan penyimpanan btc.

[Not your key not your BTC]

Bitcoin core telah rilis versi terbaru 28.0 - https://bitcoincore.org/en/download/

https://bitcointalk.org/index.php?topic=5512015.0

Banyak sekali perubahan di update kali ini, seperti contoh di bawah:

Code:

Testnet4/BIP94 support

Juga ada tambahan menu "Migrate Wallet" di GUI wallet.

Untuk lebih jelasnya bisa baca-baca di Release note: https://bitcoincore.org/en/releases/28.0/

[Husna QA]

Bitcoin core telah rilis versi terbaru 28.0 - https://bitcoincore.org/en/download/

https://bitcointalk.org/index.php?topic=5512015.0

Banyak sekali perubahan di update kali ini, seperti contoh di bawah:

Code:

Testnet4/BIP94 support

Juga ada tambahan menu "Migrate Wallet" di GUI wallet.

Untuk lebih jelasnya bisa baca-baca di Release note: https://bitcoincore.org/en/releases/28.0/

Ya, Saya juga telah membaca informasi perihal rilis update Bitcoin v.28.0 ini melalui News forum beberapa hari yang lalu;



Dan perihal Testnet, saya lihat note di https://mempool.space/testnet juga tertera:

Testnet3 is deprecated, and will soon be replaced by Testnet4

Namun meskipun demikian, Bitcoin Core masih mensupport Testnet3;

While the intention is to phase out support for Testnet3 in an upcoming version, support for it is still available via the known options in this release. (#29775)

[Husna QA]

Btw, saat ini diskusi mailing list Bitcoin Dev sudah tidak menggunakan lagi linuxfoundation (https://lists.linuxfoundation.org/mailman/listinfo/bitcoin-core-dev) dan beralih ke https://groups.google.com/g/bitcoindev.

Nah, salah satu fungsi dari mailing list tersebut, bisa untuk melihat perihal progress dari update Bitcoin Core, bahkan sedari masih versi Release Candidate (sebelum versi resminya dirilis ke publik dan diumumkan di https://bitcoincore.org; Contoh:

- Bitcoin Core 28.0 Release Candidate 1: https://groups.google.com/g/bitcoindev/c/EmAOO-Nbmzw
- Bitcoin Core 28.0 Release Candidate 2: https://groups.google.com/g/bitcoindev/c/9MNF8dFkYLM

[abhiseshakana]

Bitcoin core telah rilis versi terbaru 28.0 - https://bitcoincore.org/en/download/

https://bitcointalk.org/index.php?topic=5512015.0

Banyak sekali perubahan di update kali ini, seperti contoh di bawah:

Code:

Testnet4/BIP94 support

Juga ada tambahan menu "Migrate Wallet" di GUI wallet.

Untuk lebih jelasnya bisa baca-baca di Release note: https://bitcoincore.org/en/releases/28.0/

Ya, Saya juga telah membaca informasi perihal rilis update Bitcoin v.28.0 ini melalui News forum beberapa hari yang lalu;



Dan perihal Testnet, saya lihat note di https://mempool.space/testnet juga tertera:

Testnet3 is deprecated, and will soon be replaced by Testnet4

Namun meskipun demikian, Bitcoin Core masih mensupport Testnet3;

While the intention is to phase out support for Testnet3 in an upcoming version, support for it is still available via the known options in this release. (#29775)

Jadi pada akhirnya jaringan Testnet 4 yang diimplementasikan ke Bitcoin Core v.28.0 adalah code yang di propose oleh fjahr (github). Pada awalnya kukira proposal itu belum fix dan masih ada kemungkinan bakal muncul usulan testnet 4 milik anggota lain, ternyata konsensus tercapai dan di merge ke master branch. (lumayan sih dulu sebelum mendapatkan konsensus, saya sudah pernah ngumpulin tBTC testnet4, jadi bisa buat bahan eksperimen  )

Kalo baca-baca release note-nya, untuk menggunakan jaringan testnet 4 harus menggunakan argumen -testnet4, sementara kalo masih ingin menggunakan jaringan testnet 3, maka argumennya adalah -testnet

[Husna QA]

-snip-
Dan perihal Testnet, saya lihat note di https://mempool.space/testnet juga tertera:

Testnet3 is deprecated, and will soon be replaced by Testnet4

Namun meskipun demikian, Bitcoin Core masih mensupport Testnet3;

While the intention is to phase out support for Testnet3 in an upcoming version, support for it is still available via the known options in this release. (#29775)

Jadi pada akhirnya jaringan Testnet 4 yang diimplementasikan ke Bitcoin Core v.28.0 adalah code yang di propose oleh fjahr (github). Pada awalnya kukira proposal itu belum fix dan masih ada kemungkinan bakal muncul usulan testnet 4 milik anggota lain, ternyata konsensus tercapai dan di merge ke master branch. (lumayan sih dulu sebelum mendapatkan konsensus, saya sudah pernah ngumpulin tBTC testnet4, jadi bisa buat bahan eksperimen  ;D)

Ya, sebagaimana sebelumnya diisyaratkan juga oleh achow101 perihal "Testnet4 including PoW difficulty adjustment fix #29775":

Probably this PR: https://github.com/bitcoin/bitcoin/pull/29775

You'd have to pull the code in the PR and compile it yourself.

Dan jika ditelusuri, awal mulanya tidak lepas dari kritikan dan saran dari Jameson Lopp:
https://groups.google.com/g/bitcoindev/c/9bL00vRj7OU/m/9yCPo3uUBwAJ

Mungkin sebagian teman-teman juga sudah ada yang tahu, beberapa waktu lampau kenapa di testnet3, fee rate sampai tinggi dan jaringan blockchain bitcoin testnet3 sampai dibuat padat olehnya: https://blog.lopp.net/the-block-storms-of-bitcoins-testnet/