Биткоины владельцев ASIC-майнеров от Bitmain оказались под угрозой из-за уязвимости
Разработчик Bitcoin Core Джеймс Гиллард обнаружил уязвимость в ПО для устройств Antminer S15, которая в теории позволяет злоумышленникам полностью взять под контроль ASIC. Одновременно с этим разработчик убежден, что это не единственная версия ПО от Bitmain, подверженная уязвимости.
@BITMAINtech tried and failed to lock down the S15 firmware, I identified the vulnerability and @00whiterabbit wrote/tested the attack code. Once @BITMAINtech complies with the GPL licenses for the firmware I will disclose the vulnerability to them so that they can fix it. pic.twitter.com/zwsAaPQjRL
— James Hilliard (@james_hilliard) February 12, 2019
Так, пользователь Twitter под ником @00whiterabbit смоделировал атаку, которая позволила ему заменить адрес выплаты, выключить устройство и даже полностью заменить ПО. Несмотря на то, что хакеру необходимо пройти файрвол, риск атаки на устройства S15 существует, сообщает Bitcoin Magazine со ссылкой на Гилларда.
Примечательно, что разработчик готов предоставить Bitmain данные об уязвимости только при условии, если компания откроет код своего ПО, выпускаемого под лицензией GNU GPL. Гиллард убежден, что майнинговый гигант нарушает условия лицензии, скрывая код от пользователей.
00whiterabbit добавил, что его эксплойт не предназначен для обхода пользовательской аутентификации. Его цель, подчеркнул он, вернуть контроль над ПО непосредственно майнерам.
To everyone following: this exploit IS NOT DESIGNED to bypass user authentication, but instead to return control back to legitimate owners of S15s
— White Rabbit (@00whiterabbit) February 20, 2019
Напомним, Bitmain представила модели S15 и T15 на базе 7-нанометрового чипа BM1391 в ноябре прошлого года. Их цена составила $1475 и $913 соответственно.
В сентябре 2018 года компания Braiins Systems представила ПО для ASIC-майнеров с открытым исходным кодом на базе семейства операционных систем Linux — Braiins OS или bOS. Тогда в блоге компании появилась информация о бэкдоре Antbleed, который якобы позволял компании Bitmain перенимать контроль над устройствами Antminer.