Una nueva alarma retumba en los oídos de la comunidad bitcoin, especialmente en el mundo de la minería. Una revisión al código fuente de los equipos de minería Antminers, creados por la empresa china Bitmain, reveló la introducción de una “puerta trasera” que permite apagar a discreción y de manera remota los equipos de minería vendidos.
Según pudo conocerse a través de la red social Twitter, AntBleed es una puerta trasera plantada en el firmware de los Antminers. Un firmware es un programa informático introducido en los hardwares que establece la lógica de más bajo nivel que controla los circuitos electrónicos y que solo puede ser modificada por el fabricante.
Este software realiza una verificación aleatoria cada uno a once minutos en la cual se transmite el número de serial del Antminer, la dirección IP y MAC a un servicio central. De esta manera, Bitmain puede utilizar esta data para identificar personalmente a sus clientes y cotejar sus registros de procesamiento, violentando la privacidad del usuario. Pero, de aún más gravedad, el servicio remoto, una vez conectado al servidor de Bitmain, enviará un mensaje de vuelta: si el mensaje es “verdadero”, la maquina continuaría minando; de ser “falso”, se detendría el proceso de minado en la respectiva máquina. Esta línea de código puede visualizarse en el repositorio de Github de Bitmain.
Las reacciones en la comunidad de desarrolladores de bitcoin no tardaron en levantarse, siendo el miembro de Bitcoin Core, Peter Todd, uno de los más sorprendidos ante este grave descubrimiento:
This @BITMAINtech backdoor has *no* authentication: any MITM attacker or DNS attacker can activate it, ~70% of hashrate vulnerable.
?????? https://t.co/hG15i1GD20
— Peter Todd (@petertoddbtc) April 26, 2017
Todd denuncia que Bitmain no introdujo una condición de autenticación en dicha puerta trasera con la cual pueda controlarse quien activa remotamente el exploit: “cualquier atacante MITM (ataque intermediario) o atacante DNS puede activarlo, ~70% del hashrate se encuentra vulnerable».
Las reglas estándar de firewall interno son inútiles ante esta amenaza, pues el Antminer realiza conexiones externas. Además, el dominio DNS en cuestión se encuentra alojado en la compañía de seguridad web Cloudflare, haciéndolo sujeto de ordenes gubernamentales y control Estatal.
Dicha puerta trasera fue introducida en el código en julio de 2016. Cabe recordar que en la actualidad Bitmain es prácticamente la única compañía de minería que se ha mantenido en la manufactura de chips ASICs que lleven el ritmo de la actual dificultad de la minería de bitcoin –siendo Avalon la única competencia– por lo que todos los Antminers S9, L3, T9 y R4, es decir, la enorme mayoría de los equipos de minería actualmente operativos, están configurados con dicha puerta trasera y son vulnerables.
Mientras esta puerta trasera se mantenga abierta, la totalidad de la red bitcoin se encuentra vulnerable ante algún ataque malicioso. Y si bien es difícil afirmar con exactitud la cantidad de poder de procesamiento que funciona actualmente con dicha puerta trasera, los expertos estiman que puede encontrarse en alrededor del 70% del poder de procesamiento total del mundo.
Todd comenta que “la explicación más amable es que Bitmain sea incompetente en seguridad, poniendo toda la red Bitcoin en riesgo. Pero dada la historia que tenemos de mineros amenazando con ataques, no me sorprendería que esto haya sido añadido como último recurso para apagar a los competidores en caso de que necesitaran presionar algo a través de poder de procesamiento».
El 27 de abril, un día después de que se levantara la alarma entre la comunidad bitcoin, Bitmain publicó un comunicado en su blog clarificando la intención de incluir esta puerta trasera en su firmware:
Planeamos incluir esta característica al código para dar el poder a nuestros clientes de controlar sus mineros, los cuales muchas veces pueden estar alojados fuera de sus instalaciones. Esta idea proviene luego de más de un incidente de robo de equipos en centros de minería o algún secuestro de los equipos por parte del operador del centro de minería.
En 2014, cerca de 1.000 Antminers fueron retenidos de sus dueños por un servicio de alojamiento proveniente de Shenyang, China (…) En 2017, los propios mineros de Bitmain fueron retenidos y vendidos sin su consentimiento en Canada.
Esta característica tenía la intención de permitir a los dueños de Antminers apagar remotamente sus mineros que hayan sido robados o secuestrados por sus proveedores de alojamiento, así como para proveer a las agencias de reforzamiento de la ley mayor información de rastreo para dichos casos.
Bitmain cierra su nota ofreciendo disculpas a la comunidad y confirmando que los equipos afectados por este bug son los Antminers S9, R4, T9,L3 y L3+. Además, reafirman la posibilidad de explotar este bug mediante ataques MITM y DNS, como fue asomado por Todd, y presentando disculpas ante la degradación de seguridad causada por esto.
Por otra parte anuncian el lanzamiento de una nueva actualización en el código fuente en GitHub, así como un nuevo firmware en su portal web que remueve este bug. Recomiendan a todos los dueños de Antminers actualizar sus firmwares directamente de estas fuentes para evitar riesgos de hackeo o phising.
Finalmente, agradecen a los miembros de la comunidad por haber notado este error técnico y afirman que seguirán trabajando en desarrollos de esta característica para que solo los usuarios puedan configurar su propio servidor de autenticación.
Actualización:
Este artículo fue editado el día 27 de abril para incluir las últimas declaraciones ofrecidas por Bitmain respecto a AntBleed.
