Whalesbook
'ਜ਼ੀਰੋ-ਡੇ' ਦਾ ਦਾਅਵਾ ਅਤੇ ਸੁਰੱਖਿਆ ਖੋਜ
Litecoin Foundation ਨੇ ਬੀਤੇ ਦਿਨੀਂ ਹੋਈ 13 ਬਲੌਕਸ ਦੀ ਚੇਨ ਰੀ-ਆਰਗੇਨਾਈਜ਼ੇਸ਼ਨ ਨੂੰ 'ਜ਼ੀਰੋ-ਡੇ' (zero-day) ਕਮਜ਼ੋਰੀ ਦਾ ਨਤੀਜਾ ਮੰਨਣ ਤੋਂ ਇਨਕਾਰ ਕੀਤਾ ਹੈ। ਇਸ ਘਟਨਾ ਕਾਰਨ ਲਗਭਗ 32 ਮਿੰਟਾਂ ਦੀ ਨੈੱਟਵਰਕ ਗਤੀਵਿਧੀ ਪ੍ਰਭਾਵਿਤ ਹੋਈ ਸੀ।
GitHub ਦੇ ਸਬੂਤਾਂ ਨੇ ਖੜ੍ਹੇ ਕੀਤੇ ਸਵਾਲ
ਹਾਲਾਂਕਿ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ GitHub ਦੇ ਪਬਲਿਕ ਕਮਿਟਸ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੇ ਹੋਏ ਅਜਿਹੇ ਸਬੂਤ ਪੇਸ਼ ਕੀਤੇ ਹਨ ਜੋ ਇਸ ਦਾਅਵੇ ਨੂੰ ਚੁਣੌਤੀ ਦਿੰਦੇ ਹਨ। ਖੋਜਕਰਤਾ bbsz ਨੇ GitHub ਲੌਗਸ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹੋਏ ਕਿਹਾ ਹੈ ਕਿ ਇੱਕ ਗੰਭੀਰ ਕਨਸੈਂਸਸ (consensus) ਕਮਜ਼ੋਰੀ ਨੂੰ ਹਮਲੇ ਤੋਂ ਹਫ਼ਤੇ ਪਹਿਲਾਂ ਹੀ, ਮਾਰਚ ਦੇ ਤੀਜੇ ਅਤੇ ਚੌਥੇ ਹਫ਼ਤੇ ਦੇ ਵਿਚਕਾਰ, ਪ੍ਰਾਈਵੇਟ ਤੌਰ 'ਤੇ ਪੈਚ (patch) ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਇਹ ਕਮਜ਼ੋਰੀ MWEB (Merchant-grade Bitcoin-Enabled Wallet) ਪ੍ਰੋਟੋਕੋਲ ਨਾਲ ਸਬੰਧਤ ਸੀ, ਜਿਸ ਨਾਲ ਅਵੈਧ (invalid) ਟ੍ਰਾਂਜ਼ੈਕਸ਼ਨਾਂ ਭੇਜੀਆਂ ਜਾ ਸਕਦੀਆਂ ਸਨ।
ਦੋ ਖਾਮੀਆਂ, ਇੱਕ ਹਮਲਾ
ਇਸ ਦੇ ਨਾਲ ਹੀ, ਇੱਕ ਵੱਖਰੀ ਡਿਨਿਆਲ-ਆਫ-ਸਰਵਿਸ (DoS) ਖਾਮੀ ਨੂੰ 25 ਅਪ੍ਰੈਲ ਨੂੰ ਠੀਕ ਕੀਤਾ ਗਿਆ, ਜੋ ਕਿ ਹਮਲੇ ਸ਼ੁਰੂ ਹੋਣ ਵਾਲੇ ਦਿਨ ਹੀ ਸੀ। ਇਹ ਦੋਵੇਂ ਪੈਚ Litecoin Core v0.21.5.4 ਦੇ ਨਵੇਂ ਸੰਸਕਰਣ ਵਿੱਚ ਸ਼ਾਮਲ ਸਨ, ਜੋ ਉਸ ਦੁਪਹਿਰ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਸੀ। 'ਜ਼ੀਰੋ-ਡੇ' ਐਕਸਪਲੋਇਟ ਦਾ ਅਸਲ ਮਤਲਬ ਇਹ ਹੈ ਕਿ ਜਦੋਂ ਕੋਈ ਕਮਜ਼ੋਰੀ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਉਸ ਬਾਰੇ ਪਤਾ ਨਹੀਂ ਹੁੰਦਾ। ਇੱਥੇ ਮੁੱਖ ਵਿਵਾਦ ਇਹ ਹੈ ਕਿ ਕਨਸੈਂਸਸ ਬੱਗ ਨੂੰ ਪਹਿਲਾਂ ਹੀ ਪ੍ਰਾਈਵੇਟ ਤੌਰ 'ਤੇ ਠੀਕ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਪਰ ਇਸ ਦਾ ਜਨਤਕ ਤੌਰ 'ਤੇ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ ਨਾ ਹੀ ਮਾਈਨਿੰਗ ਪੂਲਜ਼ ਨੂੰ ਇਸਨੂੰ ਅਪਣਾਉਣ ਲਈ ਕਿਹਾ ਗਿਆ ਸੀ।
ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਅਤੇ ਨੈੱਟਵਰਕ ਦੀ ਬਹਾਲੀ
Alex Shevchenko, ਜੋ ਕਿ NEAR Foundation ਦੇ Aurora ਪ੍ਰੋਜੈਕਟ ਦੇ CTO (Chief Technology Officer) ਹਨ, ਨੇ ਹਮਲੇ ਦੀ ਸੰਭਾਵੀ ਰਣਨੀਤੀ ਬਾਰੇ ਦੱਸਿਆ। ਉਨ੍ਹਾਂ ਦੇ ਅਨੁਸਾਰ, ਡਾਟਾ ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਨੇ ਹਮਲੇ ਤੋਂ ਲਗਭਗ 38 ਘੰਟੇ ਪਹਿਲਾਂ ਹੀ ਇੱਕ ਵਾਲਿਟ ਫੰਡ ਕੀਤਾ ਸੀ ਅਤੇ Litecoin (LTC) ਨੂੰ Ether (ETH) ਨਾਲ ਸਵੈਪ (swap) ਕਰਨ ਦੀ ਤਿਆਰੀ ਕੀਤੀ ਸੀ। Shevchenko ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ DoS ਖਾਮੀ ਦੀ ਵਰਤੋਂ ਉਨ੍ਹਾਂ ਮਾਈਨਿੰਗ ਨੋਡਜ਼ ਨੂੰ ਅਸਮਰੱਥ ਬਣਾਉਣ ਲਈ ਕੀਤੀ ਗਈ ਸੀ ਜਿਨ੍ਹਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਪੈਚ ਲਾਗੂ ਕੀਤੇ ਸਨ, ਜਿਸ ਨਾਲ ਬਿਨਾਂ ਪੈਚ ਵਾਲੇ ਨੋਡਜ਼ ਅਵੈਧ ਟ੍ਰਾਂਜ਼ੈਕਸ਼ਨਾਂ ਨੂੰ ਪ੍ਰੋਸੈਸ ਕਰ ਸਕਣ। ਬਾਅਦ ਵਿੱਚ, ਨੈੱਟਵਰਕ ਨੇ ਆਪੇ ਹੀ 13 ਬਲੌਕਸ ਦੀ ਰੀ-ਆਰਗੇਨਾਈਜ਼ੇਸ਼ਨ ਰਾਹੀਂ ਖੁਦ ਨੂੰ ਠੀਕ ਕਰ ਲਿਆ, ਜਿਸ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਕਾਫੀ ਮਾਈਨਿੰਗ ਪਾਵਰ ਅਪਡੇਟਿਡ ਸੀ ਅਤੇ ਉਹ ਹਮਲੇ 'ਤੇ ਕਾਬੂ ਪਾ ਸਕੀ।
Proof-of-Work ਨੈੱਟਵਰਕਾਂ ਲਈ ਚੁਣੌਤੀਆਂ
Litecoin ਵਰਗੇ ਪੁਰਾਣੇ Proof-of-Work (PoW) ਨੈੱਟਵਰਕਾਂ ਲਈ ਇਹ ਇੱਕ ਵੱਡੀ ਚੁਣੌਤੀ ਹੈ। ਨਵੇਂ ਬਲਾਕਚੇਨਾਂ ਦੇ ਉਲਟ, PoW ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ, ਸੁਤੰਤਰ ਮਾਈਨਿੰਗ ਪੂਲਜ਼ ਨੂੰ ਸੁਰੱਖਿਆ ਪੈਚਾਂ ਨੂੰ ਸਵੈ-ਇੱਛਾ ਨਾਲ ਅਪਣਾਉਣਾ ਪੈਂਦਾ ਹੈ। ਇਸ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ (decentralized) ਪਹੁੰਚ ਕਾਰਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਕੁਝ ਖਾਮੀਆਂ ਰਹਿ ਜਾਂਦੀਆਂ ਹਨ। Litecoin Foundation ਨੇ GitHub ਦੇ ਇਸ ਨਵੇਂ ਖੁਲਾਸੇ ਬਾਰੇ ਦਿੱਤੇ ਗਏ ਵੇਰਵਿਆਂ 'ਤੇ ਅਜੇ ਕੋਈ ਟਿੱਪਣੀ ਨਹੀਂ ਕੀਤੀ ਹੈ। ਹਮਲੇ ਦੌਰਾਨ ਕਿੰਨੀ Litecoin ਪ੍ਰਭਾਵਿਤ ਹੋਈ ਜਾਂ ਇਸ ਰਾਹੀਂ ਕੋਈ ਗੈਰ-ਕਾਨੂੰਨੀ ਵਟਾਂਦਰਾ ਹੋਇਆ ਹੈ ਜਾਂ ਨਹੀਂ, ਇਸ ਬਾਰੇ ਜਾਣਕਾਰੀ ਅਜੇ ਉਪਲਬਧ ਨਹੀਂ ਹੈ।