Gli sviluppatori di Bitcoin Core hanno reso noto un bug che mina la privacy, in grado di esporre proprio il dettaglio che doveva proteggere: l’indirizzo IP dell’utente. Una correzione sarà disponibile nella versione 31.1.
Il difetto si trova nella funzione di private broadcast, una funzionalità opzionale aggiunta nella versione 31.0 lo scorso aprile. Gli sviluppatori hanno pubblicato l’avviso il 6 giugno.
In che modo il bug sulla privacy si ritorce contro gli utenti
Private broadcast invia le transazioni tramite Tor, una rete di anonimato nota per l’accesso al dark web, così i destinatari non possono sapere da dove provengono.
Tuttavia, l’avviso ufficiale ammette che questa promessa può venire meno.
Il problema si verifica quando il software tenta di stabilire una connessione criptata con un altro computer nella rete. Se il tentativo fallisce, il sistema riprova silenziosamente tramite una connessione normale e salta completamente Tor. Così il destinatario può vedere il vero indirizzo IP del mittente e, con esso, la sua posizione approssimativa.
Ancora peggio, gli attaccanti non hanno bisogno di fortuna. Un nodo malevolo può intenzionalmente rifiutare la handshake criptata e forzare il tentativo di riconnessione che rivela l’IP.
Il rischio è critico poiché la blockchain di Bitcoin è pubblica. Collegare una transazione a un indirizzo IP può associare i pagamenti a una persona reale.
Chi è interessato e cosa fare
Il bug riguarda solo chi utilizza la versione 31.0 e ha attivato la funzione. Le normali transazioni dai wallet restano invariate. Gli sviluppatori attribuiscono la scoperta al ricercatore Eugene Siegel.
Nel frattempo, il mercato ha reagito appena. Bitcoin (BTC) viene scambiato intorno a $63.700, pressoché stabile nelle ultime 24 ore. Gli sviluppatori ora sono chiamati al lavoro più silenzioso di ricostruire la fiducia negli sforzi per la privacy su Bitcoin.
Fino all’arrivo della versione 31.1, gli utenti coinvolti dovrebbero disattivare la funzione oppure instradare tutto il traffico tramite Tor. L’episodio segue una recente contestazione sulle policy di relay delle transazioni e riapre interrogativi su chi gestisce Bitcoin Core.
