• Het is de standaardpraktijk van de technische industrie om de kennis van een bug voor zo weinig mogelijk mensen te behouden.
  • Oplichtingskwesties worden gecompliceerd door altcoins, met name die altcoins die zijn gevorkt van andere cryptocurrency’s zoals Bitcoin.

Bitcoin (BTC) wordt regelmatig verdedigd als de meest veilige cryptocentrische valuta die er is, maar het is zelfs kwetsbaar voor af en toe een foutje, wat ook betekent dat de vorken van BTC met hetzelfde probleem te maken kunnen hebben.

Dit onvermijdelijke feit werd begin september bekend gemaakt, toen uit een onderzoeksartikel bleek dat Bitcoin een ernstige denial-of-service-kwetsbaarheid vertoonde.

De paper legt uit dat de bug werd ontdekt – en gepatcht – in 2018, maar het vertegenwoordigt de allereerste onthulling van deze bug. Gezien het feit dat het zo’n twee jaar na de ontdekking van de kwetsbaarheid werd gepubliceerd, roept het belangrijke vragen op over onthullingen in Bitcoin en andere cryptocurrencies, inclusief de vraag of ontwikkelaars een verplichting hebben om het publiek sneller op de hoogte te brengen van gevaren.

Volgens de ontwikkelaars die met Cryptonews.com spreken, is het in het belang van Bitcoin en haar gebruikers om softwarefouten goed te bewaken (in ieder geval totdat er een oplossing is uitgerold). Tegelijkertijd nemen crypto-beurzen stappen om ervoor te zorgen dat geen enkele ontwikkelaar(s) met voorkennis van bugs probeert te profiteren van handel met voorkennis.

Het boek en een morele verplichting

Nadat hij de bug op 22 juni 2018 had ontdekt, meldde portemonnee-ontwikkelaar Braydon Fuller de Bitcoin Core ontwikkelaars op 9 juli 2018, waarbij een dag later een patch werd uitgerold door Matt Corallo, Wladimir J. van der Laan, en andere onderhoudsbedrijven.

Niemand anders werd op de hoogte gebracht, hoewel het bestaan van de bug in andere vorken van Bitcoin (zoals Decred (DCR)) werd ontdekt in juli van dit jaar, een feit dat Braydon Fuller en Bitcoin-ontwikkelaar Javed Khan ertoe kan hebben gebracht hun bevindingen laattijdig te publiceren in september.

Maar hoewel dit suggereert dat de betrokken mensen mogelijk kwetsbaarheden ‚verborgen‘ hebben gehouden en dat ze het proces van openbaarmaking niet hebben gevolgd, hebben andere ontwikkelaars en mensen die betrokken zijn bij de crypto-industrie bevestigd dat de dingen zo goed als volgens het boekje zijn gedaan.

„Ik zou zeggen dat als iemand die niet aan het project werkt een bug tegenkomt, ze een morele verplichting hebben om de eigenaar of beheerder van de code zo snel mogelijk te informeren via het verantwoordelijke bekendmakingsproces,“ zegt Ben Chan, Chief Technology Office bij BitGo, een groot crypto-bewaarbedrijf.

Dit is precies wat Braydon Fuller in 2018 deed. Hij stelde de Bitcoin Core ontwikkelaars op de hoogte zodra hij bevestigde dat de exploitatie invloed had op de laatste versie van het protocol.

Hij bracht ook de ontwikkelaars op de hoogte door gebruik te maken van versleutelde e-mail, wat weer standaard is. „Voor Bitcoin Core kunt u gebruik maken van security@bitcoincore.org, en het bericht via GPG versleutelen naar de ontwikkelaar met wie u liever contact opneemt,“ zei Bitcoin-ontwikkelaar Nicolas Dorier.

Sommigen kunnen in de verleiding komen om Bitcoin Core-ontwikkelaars de schuld te geven voor het niet publiceren van de kwetsbaarheid nadat deze is gepatcht. Volgens Dorier is het expliciet publiceren van een specifieke bug niet nodig, zolang de ontwikkelaars deze maar daadwerkelijk patchen en ervoor zorgen dat iedereen zijn of haar software bijwerkt.

„De devs repareren de bug zonder deze bekend te maken, en wanneer de fix voldoende is gedistribueerd zodat een exploit geen schade kan aanrichten, is er de bekendmaking aan het publiek.
Soms kunnen devs zeggen ’stop met het gebruik van deze versie, er is een kritische kwetsbaarheid die we over 6 maanden zullen patchen‘,“ vertelde hij Cryptonews.com.

Evenzo is het de standaardpraktijk van de technische industrie om de kennis van een bug voor zo weinig mogelijk mensen te bewaren, met name voordat er een oplossing wordt ontwikkeld.

„Zo weinig mogelijk“, was Dorier het ermee eens, „en in het algemeen geven ontwikkelaars er de voorkeur aan om niet op de hoogte te zijn, om verdenking te vermijden als er een lek is.“

Collega Bitcoin-ontwikkelaar Bryan Bishop bevestigde ook dat het aankondigen van een kwetsbaarheid – zelfs nadat een update is uitgebracht – misschien niet de beste manier is om te gaan, en dat het niet aankondigen ervan standaard is in softwareontwikkeling.

„Ze kunnen de kwetsbaarheid niet aankondigen, want zonder genoeg tijd voor gebruikers om te upgraden, zou er meer kans op schade zijn. Alles wat daarmee samenhangt is standaard en normaal,“ vertelde hij Cryptonews.com.

Geassocieerde risico’s

Openbaarmakingsproblemen worden gecompliceerd door altcoins, met name die altcoins die van andere cryptokringen zoals Bitcoin zijn gevorkt. Aan de ene kant kan het publiekelijk delen van een kwetsbaarheid de gevorkte munten in gevaar brengen, terwijl aan de andere kant het niet delen van bugs ervoor kan zorgen dat gevorkte munten bloot komen te liggen als een andere onderzoeker onafhankelijk van elkaar hetzelfde ontdekt.

„Ik denk echter dat wat mensen vergeten, vooral over altcoins, is dat deze kwetsbaarheden niet noodzakelijkerwijs worden gemeld aan alle 1.000s van gevorkte munten,“ zei Bryan Bishop.

Volgens hem is het uitzenden van veiligheidsinformatie naar een groep van duizenden andere ontwikkelaars op een bepaald moment gelijkwaardig aan of net zo schadelijk als het uitzenden van kwetsbaarheidsinformatie naar het grote publiek.

„Het gevolg hiervan is dat er een aantal projecten zijn die gewoon niet in de lus zitten over veiligheidskwesties,“ voegde hij eraan toe, een punt dat wordt benadrukt door het feit dat Decred twee jaar later nog steeds de kwetsbaarheid van juni 2018 had.

Een ander mogelijk risico is handel met voorkennis, zoals een woordvoerder van BitMEX aan Cryptonews.com heeft uitgelegd.

„Er is natuurlijk een risico van insiders rond de openbaarmaking van bugs, waarbij bijvoorbeeld mensen met kennis van een kwetsbaarheid bitcoin zouden kunnen korten en vervolgens profiteren als de openbaarmaking van de kwetsbaarheid netwerkproblemen veroorzaakt en de prijs laat crashen,“ zeiden ze.

De woordvoerder van BitMEX verklaarde dat de beurs dit risico zeer serieus neemt. „Daarom willen we graag proberen om bovenop deze problemen te blijven zitten door veel versies van Bitcoin te draaien en geautomatiseerde waarschuwingssystemen te implementeren, zoals het onverwachte inflatiedetectiesysteem“.