As novas versões do firmware para o Antminer S15 e o Antminer T15 do Bitmain não resolvem uma vulnerabilidade detectada recentemente que permite modificar os endereços de pagamento das recompensas. Assim afirmou James Hilliard, um dos investigadores independentes que encontraram e divulgaram a existência da falha de segurança.
Hillard publicou na rede social Twitter que Bitmain não conseguiu arranjar a vulnerabilidade que, junto com o desenvolvedor anônimo White Rabbit, encontrou no firmware do mineiro S15 no passado 11 de fevereiro. Conforme assinalou, apesar da atualização lançada este 28 de fevereiro por Bitmain, a falha persiste.
A Bitmain anunciou no seu blog oficial que desenvolveu as novas versões do firmware em resposta ao alerta recebido por parte da comunidade de código aberto. Conforme assinala o comunicado, foram informados por dita comunidade “de uma possível vulnerabilidade relacionada ao nosso firmware”. Em resposta, eles lançaram as atualizações “para corrigir esta vulnerabilidade”. Não obstante, aparentemente não se referem á falha explorada pelos investigadores James Hillard e White Rabbit, senão ao outro ponto sensível na segurança.
Hilliard, conhecido por sua Proposta de Melhoria de Bitcoin BIP91 (bifurcação suave que permitiu a implementação de SegWit), não compartilhou os detalhes da vulnerabilidade do Antminer S15. O desenvolvedor condicionou a divulgação desses dados ao Bitmain para que cumpra com os termos de uma licença GPL. Este tipo de licença de direito de autor permite compartilhar, usar, estudar e modificar livremente um software. Não obstante, apesar de que Bitmain usa CGminer (um software de código aberto sob licença de GPL, essencial para minar criptoativos com equipamentos ASIC, como parte do firmware) seus códigos não são públicos.
[box]
From what I can tell @BITMAINtech/@Antminer_main has still failed to fix the vulnerability I found even with this update. https://t.co/ERGeEaiI3C
— James Hilliard (@james_hilliard) 28 de febrero de 2019
[/box]
Em seu tópico no Twitter, o desenvolvedor assinalou que “já que [Bitmain] não tem cumprido com a licença GPL para o firmware, ainda não tenho divulgado os detalhes da vulnerabilidade”. Afirmou além que a segurança do firmware de Bitmain tem vários pontos fracos.
Embora os detalhes da falha não sejam conhecidos, sabe-se que White Rabbit foi capaz de aceder de forma remota, a cerca de 1.000 quilômetros de distancia, para um Antminer S15. O investigador desenvolveu um exploit que lhe permitiu ao atacante múltiplas ações, inclusive modificar o endereço de pagamento de um mineiro explorado.
Os usuários da rede social Reddit que se juntaram ao debate sobre o tema, apontam que Hilliard deve manter ou aumentar a pressão para que a Bitmain cumpra com a GPL. Outros, por outro lado, defendem o direito de Bitmain de não publicar seu trabalho.
O redditor butisher comentou que “Bitmain pensou que podiam ir adiante ao corrigir um erro e não seguir a lei, ignorando a GPL. Não podem, e devemos continuar difundindo que os outros deveriam evitar o uso de seus ASICs”. Enquanto que o usuário furbar-bdhr afirmou: “isso é tecnicamente extorsão. Pedir qualquer coisa, não só dinheiro em numerário enquanto se ameaça, o levará para a prisão.”
Imagem destacada por Elnur / stock.adobe.com
Traduzido de: CriptoNoticias
