(盖蒂图片社,由CoinDesk修改)
比特币核心软件中此前未披露的漏洞可能让攻击者窃取资金、延迟结算或将最大的区块链网络拆分成相互冲突的版本,如果不是在两年前悄悄修补的话。
这是根据加密购物网站钱包的协议工程师Braydon Fuller和握手协议的核心开发人员Javed Khan于2018年6月发现拒绝服务漏洞的周三发表的一篇论文。
该漏洞的严重性等级为7.8,等级为1至10,被视为“高”(9或以上被视为“严重”)。Khan告诉CoinDesk,这是由于“远程节点”无法从其内存中清除无效事务造成的;
文件指出,无法清除这些事务可能导致攻击者用过时的数据淹没受害节点,即所谓的“不受控制的资源消耗”,最终导致节点关闭。
第二层(L2)解决方案,如建立在比特币区块链之上的实验性支付系统Lightning Network,由于该漏洞而面临风险。比特币完整节点不存在资金损失的风险。
导读:最新发布的比特币核心代码可抵御国家攻击
“没有机制来确保交易的挂起细节是否有效。在某些情况下,你可以用无效的事务填充远程内存。
可汗和富勒写道,在野外没有发现有人试图利用这个洞。Fuller说,由于节点运营商更新的时间比预期的要长,因此两年多时间内无法公开披露该漏洞。
虽然漏洞已经修复,但它的披露凸显了在人类创造的编程语言上建立全球货币标准的困难,更不用说参与顶级加密货币开发的高技术壁垒。
2017年11月,比特币引入了漏洞。该报称,当时约50%的比特币节点暴露在攻击向量下。比特币核心的早期版本没有受到影响。
Khan说,该漏洞可能使攻击者能够从Lightning上有开放通道的节点窃取资金。
比特币核心版本0.16.0和0.16.1在富勒于2018年7月向核心团队披露后,受到开发者马特·科拉洛(Matt Corallo)的影响和修补。截至记者发稿时,科拉罗没有回答记者提问置评。
富勒(他也是去中心化云存储协议Storj的首席开发者)的发现之后,两个月后,比特币核心0.16.3解决了另一个比特币漏洞。比特币核心团队当时写道,该漏洞也是拒绝服务攻击的载体,该漏洞的一个方面允许矿商“夸大比特币供应”,因为他们可能会将某些价值加倍。
Khan和Fuller写道,比特币核心版本发布的紧急补丁也解决了Fuller的缺陷。
2018年,在国家标准技术研究院的通用漏洞和暴露(CVE)登记册上,为CVE-2018-17145保留了一个资源消耗漏洞的位置,但尚未填写。注册中心作为软件缺陷的公共词汇表。
比特币核心是网络软件的参考实现或标准版本,从中衍生出其他软件。据该报报道,该漏洞在比特币及其分支的其他几个实现上也是可能的:
所有这些实现都已修补。
更新(9月10日,15:45 UTC):自发布以来,本文已进行了更新,以包括论文的链接以及有关其中一位合著者及其所描述的漏洞的其他信息。
微信扫一扫 
