Sospetti di “state sponsored attack” per Bitcoin Core

By | 19 agosto 2016

Bitcoin Core - State Sponsored AttackIl 17 agosto è comparso, sul sito bitcoin.org, un alert che informa i visitatori circa sospetti di uno state sponsored attack [WBM] nei confronti della prossima versione del software Bitcoin Core, la 0.13.0, mettendo in guardia in particolare la comunità di utilizzatori  cinesi del protocollo Bitcoin. I rischi di questo attacco sponsorizzato da uno o più Stati sono, stando all’alert, il furto di bitcoin o la possibilità che il proprio PC diventi uno zombie ed entri a far parte di una botnet che possa tentare di danneggiare la rete Bitcoin.

Non è stato precisato il motivo che spinge gli sviluppatori a mettere in guardia gli utilizzatori del wallet/nodo bitcoin nella sua specifica versione 0.13.0 che ancora deve uscire. Certamente questo annuncio ha contribuito a ricordare come la sicurezza del protocollo Bitcoin dipende in gran parte dall’utilizzatore e dalle precauzioni che vengono prese in fase di utilizzo. Un client fake, bacato o corrotto può molto facilmente portare alla perdita dei propri bitcoin e, come se non bastasse, danneggiare anche l’intera rete Bitcoin che contribuisce a diffondere le transazioni e minare nuovi blocchi da concatenare alla blockchain.

Bitcoin Core - Safety Warning

Per evitare di correre rischi è sufficiente verificare la versione del client Bitcoin Core che si andrà a scaricare tramite il check della firma dello sviluppatore Wladimir J. van der Laan (tramite la sua chiave PGP/GPG con fingerprint 01EA5486DE18A882D4C2684590C8019E36C2E964 e ID laanwj@gmail.com) e, se possibile, anche da parte di qualche altro sviluppatore del team di sviluppo Bitcoin Core utilizzando le chiavi disponibili nel repository Gitian.

Chiave pubblica di verifica del software Bitcoin Core

Una volta scaricato il binario di Bitcoin Core, è quindi consigliabile scaricare l’elenco dei valori SHA256 di tutte le compilazioni per le varie piattaforme, contenuto nel file SHA256SUMS.asc, e verificare tramite il comando “gpg –verify” (oppure mediante interfaccia grafica GPG/PGP per Windows, Mac OS o Linux) che la firma sia stata generata dalla chiave pubblica scaricata in precedenza da fonte attendibile.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *