Pada tahun 2018, seorang peneliti keamanan menemukan bug dalam Bitcoin Core, perangkat lunak yang menggerakkan blockchain Bitcoin, tetapi setelah melaporkan masalah dan memperbaikinya, peneliti memilih untuk merahasiakan detailnya agar bisa menghindari terjadinya eksploitasi masalah keamanan tersebut.
Detail teknis dipublikasikan pada pekan ini setelah kerentanan yang sama ditemukan secara independen di cryptocurrency lain, berdasarkan versi kode Bitcoin lawas yang belum menerima perbaikan.
Disebut INVDoS, ini merupakan kerentanan serangan denial-of-service (DoS) klasik. Meskipun dalam banyak kasus, serangan DoS tidak berbahaya, serangan tersebut bukan untuk sistem yang dapat dijangkau internet, yang memerlukan waktu aktif stabil untuk memproses transaksi.
INVDoS ditemukan pada tahun 2018 oleh Braydon Fuller, seorang insinyur protokol Bitcoin. Fuller menemukan bahwa penyerang dapat membuat transaksi Bitcoin yang salah format, yang mana ketika diproses oleh node blockchain Bitcoin, akan menyebabkan konsumsi sumber daya memori server yang tidak terkendali, yang pada akhirnya akan merusak sistem yang terkena dampak.
“Pada saat penemuan, ini mewakili lebih dari 50% node Bitcoin yang diiklankan secara publik dengan lalu lintas masuk, dan kemungkinan mayoritas penambang serta bursa,” kata Fuller dalam makalah yang diterbitkan pada hari Rabu (9/9/2020).
Selain itu, INVDoS juga memengaruhi node Bitcoin (server) lain yang menjalankan perangkat lunak Bitcoin Core. Node Bitcoin yang menjalankan Bcoin dan Btcd juga terpengaruh oleh bug yang sama.
Cryptocurrency lain yang dibangun di atas protokol Bitcoin asli juga terkena dampak, seperti Litecoin dan Namecoin.
Fuller mengatakan bug itu berbahaya karena bisa memberi dampak “hilangnya dana atau pendapatan.”
Baca Juga: “Penjahat Siber Berhasil Mencuri $5,4 Juta Dari Bursa Cryptocurrency Eterbase“
INVDoS dilaporkan ke semua pihak yang bertanggung jawab dan sudah diperbaiki, pada saat itu, di lacak sebagai CVE-2018-17145, yang tidak menyertakan banyak detail ke publik.
Namun, kerentanan yang sama ditemukan kembali selama musim panas oleh Javed Khan, insinyur protokol Bitcoin lainnya, saat berburu bug di cryptocurrency Decred.
Khan melaporkan kerentanan tersebut ke program bug bounty Decred dan akhirnya diungkapkan ke publik pada bulan lalu.
Detail lengkap tentang kerentanan INVDoS telah dipublikasikan awal pekan ini, sehingga cryptocurrency lain yang dibuat di atas versi lama dari protokol Bitcoin dapat memeriksa dan melihat apakah mereka juga terpengaruh.
“Saat ini belum ada eksploitasi aktif yang ditemukan dari kerentanan ini,” kata Fuller dan Khan. “Tidak sejauh yang kami tahu.”
