1. CoinON首页
  2. 新闻
  3. 头条

数字货币安全研究人员在比特大陆的矿机S15中发现漏洞

Antbleed漏洞相当严重,可能会给比特大陆用户带来更大的破坏。

开发商詹姆斯·希利亚德(James Hilliard)最著名的是他的比特币改进方案91号(激活SegWit并阻止SegWit2x的BIP)和CGMiner程序,他最近又在比特大陆的矿机 S15固件中发现了一个漏洞。

该漏洞随后被一位匿名安全研究人员利用。Hilliard已经公开展示了该漏洞的实际应用:

数字货币安全研究人员在比特大陆的矿机S15中发现漏洞

这个漏洞允许攻击者做任何事情,包括修改被攻击矿工的支付地址。之前有一个名为“Antbleed”的漏洞,允许任何矿机远程关闭,给严重依赖比特大陆硬件的比特币网络带来了生存风险。

Hilliard和匿名的00whiterabbit已经公开了漏洞的细节并帮助修补,但是有一个问题:比特大陆必须停止违反GNU通用公共许可协议的行为。GPL规定GPL代码的衍生产品应该是“免费的用户应该能够自由访问代码,以便使用、修改和创建自己的衍生产品。

根据麻省理工学院的许可,比特币核心软件包本身是开源的。Hilliard的要求绝不是随意的。CGMiner的代码是比特大陆 S15固件的一部分。如果比特大陆不能发布其固件的源代码,Hilliard和00whiterabbit将作出反应。他们将公布开发成果。

然而,对比特币矿商发起攻击并非易事。攻击者必须能够访问网络,才能打开矿机上。 

ANTBLEED漏洞 

Antbleed漏洞相当严重,但这种新的攻击被称为“antsploit”,可能会给比特大陆用户带来更大的破坏。从切换你正在挖的区块到改变你的支付地址,几乎任何可以想象到的事情都是可能的,该漏洞位于比特大陆硬件的底层,这意味着目前您对此无能为力。

安全漏洞是支持开源软件的主要论据之一。没有一种代码不受益于公众对那些可能攻击它的人的审查,特别是当用户想要调查结果的时候。比如在bug bounty程序中,公司获得的收益远远大于“损失”。

Hilliard推测:比特大陆可能关闭了源代码,以防止用户超时使用硬件,增加成本,并补充说:比特大陆似乎并不关心是否遵循版权法。不幸的是,在比特币网络上使用闭源固件并不是一件好事,因为像Antbleed这样的东西可以隐藏在里面。这是中心化的风险。

对GNU GPL持续的抱怨是因其缺乏实际执行,屡次违反规定,却很少或根本没有受到惩罚。

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

数字货币安全研究人员在比特大陆的矿机S15中发现漏洞

2019-02-25 11:01:12

开发商詹姆斯·希利亚德(James Hilliard)最著名的是他的比特币改进方案91号(激活SegWit并阻止SegWit2x的BIP)和CGMiner程序,他最近又在比特大陆的矿机 S15固件中发现了一个漏洞。

该漏洞随后被一位匿名安全研究人员利用。Hilliard已经公开展示了该漏洞的实际应用:

数字货币安全研究人员在比特大陆的矿机S15中发现漏洞

这个漏洞允许攻击者做任何事情,包括修改被攻击矿工的支付地址。之前有一个名为“Antbleed”的漏洞,允许任何矿机远程关闭,给严重依赖比特大陆硬件的比特币网络带来了生存风险。

Hilliard和匿名的00whiterabbit已经公开了漏洞的细节并帮助修补,但是有一个问题:比特大陆必须停止违反GNU通用公共许可协议的行为。GPL规定GPL代码的衍生产品应该是“免费的用户应该能够自由访问代码,以便使用、修改和创建自己的衍生产品。

根据麻省理工学院的许可,比特币核心软件包本身是开源的。Hilliard的要求绝不是随意的。CGMiner的代码是比特大陆 S15固件的一部分。如果比特大陆不能发布其固件的源代码,Hilliard和00whiterabbit将作出反应。他们将公布开发成果。

然而,对比特币矿商发起攻击并非易事。攻击者必须能够访问网络,才能打开矿机上。 

ANTBLEED漏洞 

Antbleed漏洞相当严重,但这种新的攻击被称为“antsploit”,可能会给比特大陆用户带来更大的破坏。从切换你正在挖的区块到改变你的支付地址,几乎任何可以想象到的事情都是可能的,该漏洞位于比特大陆硬件的底层,这意味着目前您对此无能为力。

安全漏洞是支持开源软件的主要论据之一。没有一种代码不受益于公众对那些可能攻击它的人的审查,特别是当用户想要调查结果的时候。比如在bug bounty程序中,公司获得的收益远远大于“损失”。

Hilliard推测:比特大陆可能关闭了源代码,以防止用户超时使用硬件,增加成本,并补充说:比特大陆似乎并不关心是否遵循版权法。不幸的是,在比特币网络上使用闭源固件并不是一件好事,因为像Antbleed这样的东西可以隐藏在里面。这是中心化的风险。

对GNU GPL持续的抱怨是因其缺乏实际执行,屡次违反规定,却很少或根本没有受到惩罚。

联系我们

13051735206

在线咨询:点击这里给我发消息

投诉邮件:coinonpro@gmail.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code