Bitcoin Core-udviklere har afsløret en privatlivsfejl, der kan afsløre det, funktionen netop skulle skjule – en brugers IP-adresse. En løsning kommer i version 31.1.
Fejlen findes i private broadcast, en valgfri funktion tilføjet i version 31.0 i april. Udviklere udsendte advarslen den 6. juni.
Sådan går det galt med privatlivsfejlen
Private broadcast sender transaktioner gennem Tor, et anonymitetsnetværk kendt fra det mørke web, så modtagere aldrig opdager afsenderens oprindelse.
Men den officielle rådgivning erkender, at løftet kan brydes.
Problemet opstår, når softwaren forsøger at oprette en krypteret forbindelse til en anden computer på netværket. Hvis forsøget fejler, prøver programmet automatisk igen – denne gang uden Tor. Modtageren ser derfor afsenderens rigtige IP-adresse og kan få et indtryk af deres geografiske placering.
Endnu værre er det, at angribere ikke behøver held. En ondsindet node kan bevidst afvise den krypterede forbindelse og tvinge systemet til at afsløre IP-adressen.
Risikoen er kritisk, fordi Bitcoins regnskab er offentligt. Kobling af en transaktion med en IP-adresse kan binde betalinger til en virkelig person.
Hvem er berørt og hvad kan man gøre
Fejlen rammer kun personer, der bruger version 31.0 og har aktiveret funktionen. Helt almindelige wallet-transaktioner er ikke påvirket. Udviklere anerkender, at forskeren Eugene Siegel opdagede fejlen.
I mellemtiden reagerede markedet næppe. Bitcoin (BTC) har en kurs omkring $63.700, stort set uændret det seneste døgn. Udviklere arbejder nu videre med at genopbygge tilliden til Bitcoins privatlivsbeskyttelse.
Indtil version 31.1 udgives, bør de berørte deaktivere funktionen eller bruge Tor til al trafik. Episoden følger også et nyligt opgør om transaktionsformidling og genopliver diskussionen om, hvem der styrer Bitcoin Core.
