Bitcoin Core-ontwikkelaars hebben een privacyfout bekendgemaakt die juist het detail kan onthullen dat eigenlijk verborgen moest blijven: het IP-adres van een gebruiker. Een oplossing komt in versie 31.1.
De fout zit in private broadcast, een optionele functie die in april toegevoegd werd in versie 31.0. Ontwikkelaars publiceerden de waarschuwing op 6 juni.
Hoe de privacybug averechts werkt
Private broadcast stuurt transacties via Tor, een anoniem netwerk dat bekendstaat om toegang tot het dark web, zodat ontvangers nooit weten waar de transactie vandaan komt.
Maar in het officiële advies wordt toegegeven dat deze belofte kan breken.
Het probleem ontstaat als de software eerst probeert een versleutelde verbinding te maken met een andere computer op het netwerk. Als die poging mislukt, probeert het programma ongemerkt opnieuw via een gewone verbinding en omzeilt Tor helemaal. De ontvanger ziet dan het echte IP-adres van de verzender en dus ook de grove locatie.
Het kan nog erger: aanvallers hoeven geen geluk te hebben. Een vijandige node kan met opzet het versleutelde contact weigeren, waardoor het programma direct het echte IP-adres laat zien in de volgende poging.
Dit is een groot risico, omdat de Bitcoin-blockchain openbaar is. Als iemand een transactie met een IP-adres koppelt, kan die betaling aan een echt persoon worden verbonden.
Wie er getroffen zijn en wat je moet doen
Alleen mensen die versie 31.0 draaien en deze functie hebben aangezet, lopen risico. Gewone wallet-transacties blijven gewoon veilig. De ontwikkelaars geven onderzoeker Eugene Siegel de eer voor deze ontdekking.
Ondertussen schoot de markt nauwelijks in de stress. Bitcoin (BTC) wordt verhandeld rond $63.700, vrijwel onveranderd ten opzichte van gisteren. Ontwikkelaars staan nu voor de rustigere taak om het vertrouwen in Bitcoin privacy-initiatieven terug te winnen.
Totdat versie 31.1 beschikbaar is, moeten getroffen gebruikers de functie uitzetten of al hun verkeer via Tor laten lopen. Dit incident volgt op een recente transactierelay-discussie en zet de vragen over wie Bitcoin Core onderhoudt weer op scherp.
