Baru saja mengikuti apa yang terjadi dengan Litecoin selama akhir pekan dan jujur saja ini adalah studi kasus yang cukup liar tentang bagaimana jaringan proof-of-work yang lebih tua menangani patch keamanan.

Jadi pada dasarnya penyerang memanfaatkan kerentanan dalam protokol MWEB Litecoin yang sudah diperbaiki secara pribadi beberapa minggu sebelumnya. Serangan tersebut memicu reorganisasi rantai sebanyak 13 blok yang mengulang sekitar 32 menit aktivitas jaringan. Yang membuat ini menarik adalah bagaimana waktu pelaksanaannya.

Menurut komit GitHub publik, bug konsensus inti diam-diam diperbaiki antara 19 Maret dan 26 Maret, sekitar empat minggu sebelum eksploitasi terjadi. Tapi yang perlu diingat - patch itu tidak wajib di seluruh jaringan. Beberapa kolam penambangan memperbarui kode mereka sementara yang lain tidak, menciptakan celah di mana penyerang bisa menargetkan yang rentan.

Seorang peneliti keamanan menarik garis waktu dari log komit dan menunjukkan bahwa serangan sebenarnya memiliki dua komponen yang bekerja sama. Pertama, ada kerentanan penolakan layanan yang diperbaiki pada 25 April. DoS ini tampaknya dirancang untuk menjatuhkan node penambangan yang sudah diperbaiki secara offline, membiarkan node yang belum diperbaiki membentuk rantai dengan transaksi yang tidak valid. Kemudian bug konsensus memungkinkan transaksi MWEB yang buruk tersebut lolos sebelum jaringan akhirnya memperbaiki dirinya sendiri.

Data blockchain menunjukkan bahwa penyerang telah mengisi dana ke sebuah dompet 38 jam sebelum eksploitasi melalui penarikan dari bursa, dengan tujuan yang sudah disiapkan untuk menukar LTC menjadi ETH di bursa desentralisasi. Langkah yang cukup terencana.

Jaringan akhirnya melakukan koreksi sendiri setelah serangan DoS berhenti dan cukup banyak hashrate yang menjalankan kode yang diperbarui akhirnya mengalahkan cabang yang tidak valid tersebut. Tapi celah waktu 32 menit itu adalah masalah utama di sini. Ini secara garis besar menyoroti perbedaan antara jaringan PoW yang lebih tua seperti Litecoin dan Bitcoin versus rantai yang lebih baru. Jaringan yang lebih baru dengan set validator yang lebih kecil dapat mendorong patch secara jaringan dalam hitungan jam melalui saluran yang terkoordinasi. Jaringan yang lebih tua bergantung pada kolam penambangan independen yang memutuskan kapan melakukan upgrade, yang berfungsi baik untuk hal-hal yang tidak mendesak tetapi menciptakan celah kerentanan nyata ketika patch keamanan harus diterapkan secara bersamaan ke semua orang.

Litecoin Foundation mengatakan bahwa bug tersebut sudah sepenuhnya diperbaiki dan jaringan beroperasi normal, tetapi mereka belum secara publik mengungkapkan garis waktu patch atau berapa banyak LTC yang terpengaruh selama jendela blok tidak valid tersebut. Harga saat ini sekitar $58,58.

Ini adalah pengingat yang baik bahwa bahkan jaringan yang sudah mapan pun bisa mengalami masalah koordinasi ketika harus meluncurkan pembaruan keamanan penting. Eksploit zero-day sendiri bukan satu-satunya masalah - yang menjadi masalah adalah jarak waktu antara keberadaan perbaikan dan saat perbaikan tersebut benar-benar diterapkan di seluruh jaringan.