Hechos clave:
- Desarrolladores que detectaron la vulnerabilidad en firmware del Antminer S15, dicen que persiste.
- Señalaron que la actualización del firmware lanzada por Bitmain soluciona una falla diferente.
Las nuevas versiones del firmware para Antminer S15 y Antminer T15 de Bitmain no solucionan una vulnerabilidad detectada recientemente que permite modificar las direcciones de pago de recompensas. Así lo afirmó James Hilliard, uno de los dos investigadores independientes que encontraron y divulgaron la existencia de la falla de seguridad.
Hillard publicó en la red social Twitter que Bitmain no ha podido arreglar la vulnerabilidad que, junto al desarrollador anónimo White Rabbit, encontró en el firmware del minero S15 el pasado 11 de febrero. Según señaló, pese a la actualización lanzada este 28 de febrero por Bitmain, la falla persiste.
Bitmain anunció en su blog oficial que desarrolló las nuevas versiones del firmware en atención al alerta recibido por parte de la comunidad de código abierto. Según señala el comunicado, fueron informados por dicha comunidad “de una posible vulnerabilidad relacionada con nuestro firmware”. En respuesta, lanzaron las actualizaciones “para corregir esta vulnerabilidad”. No obstante, aparentemente no se refieren a la falla explotada por los investigadores James Hilliard y White Rabbit, sino a otro punto sensible en la seguridad.
Hilliard, conocido por su Propuesta de Mejora de Bitcoin BIP91 (bifurcación suave que permitió la implementación de SegWit), no ha compartido los detalles de la vulnerabilidad del Antminer S15. El desarrollador condicionó la divulgación de estos datos a que Bitmain cumpla con los términos de una licencia GPL. Este tipo de licencia de derecho de autor permite compartir, usar, estudiar y modificar libremente un software. No obstante, a pesar de que Bitmain usa CGminer (un software de código abierto bajo licencia GPL, esencial para minar criptoactivos con equipos ASIC, como parte del firmware) sus códigos no son públicos.
En su hilo de Twitter, el desarrollador señaló que “dado que [Bitmain] no han cumplido con la licencia GPL para el firmware, aún no he divulgado los detalles de vulnerabilidad”. Sostuvo además que la seguridad del firmware de Bitmain tiene varios puntos débiles.
Since they haven’t complied with the GPL license for the firmware I haven’t yet disclosed the vulnerability details to them.
— James Hilliard (@james_hilliard) 28 de febrero de 2019
Aunque no se conocen los detalles de la falla, se sabe que White Rabbit fue capaz de acceder de forma remota, desde unos 1.000 kilómetros de distancia, a un Antminer S15. El investigador desarrolló un exploit que le permite al atacante múltiples acciones, inclusive modificar la dirección de pago de un minero explotado.
Usuarios de la red social Reddit que se han unido al debate del tema, señalan que Hilliard debe mantener o aumentar la presión para que Bitmain cumpla con la GPL. Otros, en cambio, defienden el derecho de Bitmain de no publicar su trabajo.
El redditor butisher comentó que “Bitmain pensó que podían salir adelante al corregir un error y no seguir la ley ignorando la GPL. No pueden, y debemos continuar difundiendo que otros deberían evitar el uso de sus ASIC”. Mientras que el usuario furbar-bdhr afirmó: “esto es técnicamente extorsión. Pedir cualquier cosa, no solo dinero en efectivo mientras se amenaza, te llevará a la cárcel”.
Imagen destacada por Elnur / stock.adobe.com
