Несколько недель назад разработчик Bitcoin Core Джеймс Хиллиард (James Hilliard) обнаружил уязвимость в прошивке устройств для майнинга Antminer S15 от Bitmain, поступивших в продажу в начале ноября 2018-го. Впоследствии, Твиттер-пользователь White Rabbit, также известный просто как «Джон», написал код эксплойта, основанный на выводах Хиллиарда. На прошлой неделе в Твиттере последнего был размещен видеоролик, подтверждающий работоспособность эксплойта.
BITMAIN пытался, но не смог заблокировать прошивку S15, мной была обнаружена уязвимость и White Rabbit создал/протестировал атакующий код. Как только BITMAIN начнет придерживаться лицензии GPL в отношении своего ПО, я сообщу им детально об уязвимости, чтобы они смогли ее устранить.
Хиллиард предлагает раскрыть эту уязвимость Bitmain, но при одном условии: майнинговый гигант должен будет подчиниться Общей открытой лицензии GNU (GNU GPL), которую он в настоящее время нарушает, и открыть исходники своего программного обеспечения.
В сложившейся ситуации попыталось разобраться издание Bitcoin Magazine, запросив комментарии у Bitmain.
«Мы искренне благодарны сообществу разработчиков программного обеспечения с открытым исходным кодом за выявление потенциальных уязвимостей, и мы активно исследуем этот вопрос. Мы продолжим делать все необходимое для обеспечения наилучшего и максимально безопасного опыта майнинга для клиентов Antminer», — ответили представители Bitmain.
Суть уязвимости состоит в возможности получения удаленного root-доступа к устройствам пользователей с последующим перепрограммированием на какие угодно действия — например, прекращение работы или добычу биткоинов для злоумышленника.
На практике этому может препятствовать файервол пользователя, но наличие опробованного на практике эксплойта от White Rabbit все же настораживает. Кроме того, Хиллиард считает, что такая же уязвимость может существовать во всех майнинговых прошивках Bitmain.
Читайте также:
Bitmain отчитался о получении $0,5 млрд убытков в 3 квартале прошлого года
Bitmain презентовал свой новый чип 7-нм BM1397
Bitmain предлагает клиентам убыточные контракты на облачный майнинг Bitdeer