Curiosità tecnica su malware che "leggono la blockchain di bitcoin"

[Wrib]

Buongiorno a tutti.

Mi sono imbattuto in un articolo che parla del malware "Glupteba" che crea una botnet di pc infetti. La particolarità è che il pc infetto, se gli indirizzi dei server dei comandi non corrispondono più ad un server online (magari sequestrato) può recuperare gli indirizzi dei nuovi server malevoli da cui ricevere istruzioni leggendoli da transazioni (credo dal campo OP_RETURN) effettuate da indirizzi bitcoin in mano ai pirati informatici. Sembrerebbe quindi "incensurabile/inarrestabile" perchè essendo la blockchain di bitcoin incensurabile riuscirà sempre a risalire ai nuovi server master.

Ho trovato solo informazioni tipo questa su siti generalisti senza ulteriori approfondimenti e da buon bitcoiner curioso mi sono chiesto: ma come fa a funzionare?

Mi spiego meglio, come fa a funzionare senza non essere notata a livello di occupazione di spazio su disco nel pc infetto?

In teoria potrebbe funzionare così: si sincronizza con la blockchain bitcoin, quindi scarica DIVERSI GIGA di dati (anche solo in pruning sarebbero giga), e legge le transazioni effettuate dagli indirizzi che il malware sa essere dei pirati che lo controllano.

Mi sfugge qualcosa?

Se in alternativa non scaricasse la blockchain come un qualsiasi full node, vorrebbe dire che si collega a qualche server che espone la blockchain? A questo punto non perderebbe la sua particolarità di essere "inarrestabile" ? Il single point of failure sarebbe semplicemente quello specifico full node remoto a cui chiede info sulla blockchain..

[1714612725]

1714612725

[1714612725]

1714612725

[1714612725]

1714612725

[1714612725]

1714612725

[alexrossi]

Non ho visto nulla, però potrebbe essere un virus con un client modificato che non è nemmeno un core pruned, semplicemente verifica solo i nuovi blocchi/mempool. In questo caso andrebbero bloccate le porte 8333 in uscita da PC che non hanno a che vedere con BTC, oltre a far analisi della rete di vari proxy o server centrali che potrebbero fare da ponte.

[Wrib]

Non ho visto nulla, però potrebbe essere un virus con un client modificato che non è nemmeno un core pruned, semplicemente verifica solo i nuovi blocchi/mempool. In questo caso andrebbero bloccate le porte 8333 in uscita da PC che non hanno a che vedere con BTC, oltre a far analisi della rete di vari proxy o server centrali che potrebbero fare da ponte.

Questa riflessione mi fa capire quanti siano gli aspetti tecnici di bitcoin che ancora non ho appreso..

Tecnicamente come è possibile verificare solo i nuovi blocchi? La blockchain non viene scaricata a partire dai più vecchi? E' possibile richiedere ai nodi della rete solo i blocchi più "giovani di" ?

Sull'ipotesi mempool quindi leggerebbe i blocchi in attesa di essere minati, propagati in broadcast a tutti i nodi della rete bitcoin? L'attaccante dovrebbe di tanto in tanto inviare nuove transazioni per essere intercettate dai bot in ascolto in quel momento?

[Dernoste]

non puo' trovare "cose" semplicemente cercando un indirizzo btc specifico?

[9kek]

Tecnicamente come è possibile verificare solo i nuovi blocchi? La blockchain non viene scaricata a partire dai più vecchi? E' possibile richiedere ai nodi della rete solo i blocchi più "giovani di" ?

Sull'ipotesi mempool quindi leggerebbe i blocchi in attesa di essere minati, propagati in broadcast a tutti i nodi della rete bitcoin? L'attaccante dovrebbe di tanto in tanto inviare nuove transazioni per essere intercettate dai bot in ascolto in quel momento?

Ci sono molti modi possibili, ad esempio potrebbe avere memorizzato un certo blocco che viene "preso per buono" e usato come se fosse il genesis block, oppure potrebbe semplicemente leggere indiscriminatamente tutti i nuovi blocchi cercando quelli che hanno certe informazioni in OP_RETURN formattate in un certo modo. Come detto da alexrossi si tratterebbe di una sorta di client molto non-standard.

[alexrossi]

Non ho visto nulla, però potrebbe essere un virus con un client modificato che non è nemmeno un core pruned, semplicemente verifica solo i nuovi blocchi/mempool. In questo caso andrebbero bloccate le porte 8333 in uscita da PC che non hanno a che vedere con BTC, oltre a far analisi della rete di vari proxy o server centrali che potrebbero fare da ponte.

Questa riflessione mi fa capire quanti siano gli aspetti tecnici di bitcoin che ancora non ho appreso..

Tecnicamente come è possibile verificare solo i nuovi blocchi? La blockchain non viene scaricata a partire dai più vecchi? E' possibile richiedere ai nodi della rete solo i blocchi più "giovani di" ?

Perché il comportamento standard pubblico è proprio quello di ricevere i nuovi blocchi dagli altri, dopo il sync iniziale

Poi privatamente un nodo modificato può fare quello che vuole, tipo non fare il sync iniziale e dire "le bugie" (chiedendo solo gli ultimi blocchi per rimanere leggero)

[fillippone]

Interessante, ma non ne ho mai sentito parlare e mi pare una trovata interessante.
Il malware ascolterebbe solo gli ultimi blocchi, cercando le informazioni utili nei codici op_return, senza fare IBD.
Riguardo alla porta, non è necessario che sia la 8333, può cambiare da qualche versione di Bitcoin core in qui.

Speriamo che OP lègga queste risposte, prima o poi…