匿名の人物が、Antminer に「Antbleed」バックドアがあると非難、ビットコインの計算能力の 70% が脆弱であると主張

海外メディアのbitcoinmagazineによると、匿名の情報源がビットコイン採掘ハードウェアメーカーのBitmainのAntminerマシンに「Antbleed」バックドアがあり、これが悪用されるとビットコインネットワークのセキュリティに脅威を与える可能性があると非難している。

「たとえビットメインに悪意がなかったとしても、これは重大なセキュリティ上の脆弱性だ」と、この脆弱性を発見し、それを公表するためにアントブリードのウェブサイトを立ち上げたと主張する匿名の人物は述べた。

「Antbleed」脆弱性の説明

匿名の人物は、Antbleed バックドアは極めて単純なものだと語った。

同氏は、Antminer がオンラインのとき、ドメイン auth.minerlink.com (Bitmain 所有) の「7000 ポート サービス」に 1 ～ 11 分ごとに接続していると説明した。このドメインは現在、どの IP アドレスにも接続されていません。

ただし、このドメイン名は近い将来、対応する IP アドレスに接続される可能性があります。このような事態が発生すると、Antminer のシリアル番号、MAC アドレス、IP アドレスが Bitmain に報告されます。

Bitmain はこのマシンを通じて特定のユーザーに接続できます。

「ビットメインはこのデータを使って顧客の販売記録や配送記録を照合し、個人を特定できる可能性がある」と匿名の情報源は語った。 「ビットコインのマイニングは小規模な産業なので、マイニングマシンを対応するマイニングプールやブロックにリンクするのは簡単なはずです。」

接続されると、Bitmain のサーバーは Antminer に接続し、メッセージを送り返します。メッセージが「真」の場合、マシンはマイニングを続行しますが、メッセージが「偽」の場合、コードは「マイニングを停止」というテキストを生成します。

匿名の人物は、このテキストによりマイナーのマイニングが停止されると述べ、Antminer でテスト済みであると述べました。さらに、匿名の人物は、antbleed.com の指示に従うことで誰でも Antminer でテストできると主張しています。

Bitcoin Core開発者のピーター・トッド氏は、TwitterとRedditでこれについてすぐにコメントしました。

「このバックドアには認証がないので、中間者攻撃者や DNS 攻撃者なら誰でもこれをアクティブ化でき、ハッシュレートの 70% が脆弱です。」

ビットメインの反応

バックドア疑惑に対して、ビットメインは次のように述べた。

「マシン上で実行されているコードはオープンソースであり、誰でも閲覧できるため、秘密の機能は含まれていません。コードが、Antminer所有者が自分のマイナーをリモート制御できるようにする機能を指していることは秘密ではありません。同時に、Bitmainは所有していないAntminerをリモート制御することはできません。」

どう思いますか？