Компания Bitmain объяснила происхождение бэкдора Antbleed
Производитель майнеров Antminer компания Bitmain Technologies распространила официальное заявление относительно обвинений в использовании бэкдора Antbleed, позволяющего удаленно отключить любое устройство Antminer.
In light of the recent bug found in the open-source #Antminer firmware, we have released firmware upgrades:https://t.co/3tVneOmAJa
— BITMAIN [Not giving away ETH] (@BITMAINtech) April 27, 2017
Как говорят в компании, эта «функция» была разработана той же командой, которая отвечает за прошивку устройств Antminer. Сама прошивка при этом всегда имела открытый код, а функция не задумывалась для каких-либо зловредных действий.
«Мы считаем необходимым прояснить цель данной функции. Мы планировали добавить ее в код, чтобы дать пользователям возможность удаленно управлять майнерами, которые часто находятся в других местах. На такой шаг мы решили пойти после нескольких случаев кражи устройств с майнинговых ферм», — говорится в заявлении Bitmain.
В качестве примера компания напоминает о краже около тысячи майнеров в Китае в 2014 году, блокировку работы устройств провайдером хостинговых услуг в Грузии в 2015 году, а также недавний случай, когда собственные майнеры Bitmain без согласия компании были проданы в Канаде.
Удаленное управление, утверждают в Bitmain, дало бы пользователям возможность отключать майнеры в случае необходимости, а также могло бы предоставить правоохранительным органам дополнительную информацию для отслеживания устройств. Намерений использовать функцию для удаленного отключения майнеров без согласия пользователей компания, как отмечается, никогда не имела.
«Однако работа над этой функцией так и не была завершена. Мы начали работать над ней, начиная с Antminer S7, и хотели завершить в Antminer S9, сделав серийной. Из-за возникших технических проблем мы были вынуждены отключить тестовый сервер в декабре 2016 года».
То, что код остался на месте, компания называет «багом» и приносит пользователям свои извинения.
«Этот вопрос теперь поднят в контексте дебатов о масштабировании сети биткоин и вызвал значительное недопонимание внутри сообщества», — добавили в Bitmain.
Компания подтвердила, что затронутыми оказались устройства Antminer S9, Antminer R4, Antminer T9, Antminer L3 и Antminer L3+, и выложила на своем сайте соответствующие новые прошивки для устранения ошибки. Также обновлен исходный код на GitHub.
Как уже сообщал ForkLog, на специально созданном сайте Antbleed описан принцип работы обнаруженного бэкдора. Утверждается, что в потенциале Bitmain имеет возможность выключить большое количество глобального хэшрейта сети биткоин. Кроме того, он может быть использован по отношению к конкретным устройствам или пользователям. При этом стандартный фаервол на входящий трафик не поможет, поскольку Antminer использует исходящие подключения.
Сама компания такую возможность исключает, настаивая, что никогда не предпринимает никаких действий без согласия своих клиентов.
Однако ее доводы, по всей видимости, оказались неубедительными. Так, представители Slush Pool настаивают, что Antbleed – это никакой не «баг» или «ошибка».
Denial of many people is unbelievable. #antbleed is not bug or mistake. The purpose of the code is clear; shut down miner on remote flag.
— slush (@slushcz) April 27, 2017
«Назначение этого кода очевидно: иметь возможность удаленно отключать майнеры», — пишет Sush Pool.
Насколько оправданы такие утверждения Sush Pool, сказать сложно. С одной стоороны, код Antbleed и опубликован в официальном репозитории Bitmain, и поэтому найти его было достаточно просто. С другой стороны, получив команду от удаленного сервиса, процесс майнинга на устройствах действительно можно остановить, и если это не злой умысел Bitmain, то в таком случае можно говорить о более чем серьезной бреши в безопасности, которая могла привести к крайне плачевным последствиям для всей сети.
Напомним, на долю Bitmain приходится около 70% всего поставляемого оборудования для майнинга, также компания является оператором крупнейшего пула Antpool (более 15% хэшрейта сети).
Подписывайтесь на новости Forklog в Telegram!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!