کمیته رکن چهارم – اگر از ابزار استخراج بیتکوین با نام AntMiner استفاده میکنید باید در خصوص کشف یک آسیبپذیری در این محصول به شما هشدار بدهیم. این ابزار مبتنی بر ASIC بوده و برای استخراج بیتکوین مورد استفاده قرار میگیرد و سختافزار آن توسط شرکتی به نام Bitmain طراحی و ساخته شده است. این آسیبپذیری که بهتازگی کشف شده به مهاجم اجازه میدهد از راه دور این سختافزار را خاموش کند.
به گزارش کمیته رکن چهارم،این سختافزار توسط یک کارگزار راه دور راهاندازی شده و براساس آدرس MAC، شماره سریال و آدرس IP مدیریت میشود. همانطور که در وبگاه این محصول توضیح داده شده است، در آن تکه کدی در ثابتافزار مورد استفاده قرار گرفته است. در ادامه کد را مشاهده میکنید.
 |
نتیجه این است که هربار که این نرمافزار بررسی را انجام میدهد (در بازههای زمانی ۱ تا ۱۱ دقیقهای)، ثابتافزار منتظر پاسخ «صحیح» از طرف Bitmain است. اگر پاسخ «نادرست» باشد، سختافزار عملیات استخراج بیتکوین را متوقف میکند و این روش بر روی هر نوع سختافزاری قابل اعمال است.
قابل ذکر است اطلاعاتی که Bitmain جمعآوری میکند شخصی و قابل شناسایی بوده و همانطور که در مجلهی بیتکوین آمده است، استخراج بیتکوین یک صنعت کوچک است، بنابراین اتصال یک ماشین به استخر مشخصی از تراکنشها نباید کار سختی باشد.
بهخاطر اینکه بر روی واسطهای برنامهنویسی در این دستگاه، هیچگونه احراز هویتی پیادهسازی نشده است، احتمال وقوع حملات مردِ میانی، سرقت دامنه و یا DNS وجود دارد. در وبگاه Antbleed پیشنهاد شده است کاربران از واسطهای برنامهنویسی هاستمحلی۱ برای اتصال به کارگزار Bitmain استفاده کنند تا حداقل تا زمانیکه بهروزرسانی ثابتافزار این محصول منتشر نشده، احتمال حملات را کاهش دهند.
منبع:theregister
