星球日报
搜索
手机客户端
iPhone · Android
公众号
微信公众号

比特币核心出现史上最严重漏洞?恶意矿工或可人为夸大比特币供应

2018-09-23

本次共发现了两个漏洞,一个是服务拒绝(Denial of Service)组件漏洞,另一个是更为严重的通货膨胀(inflation)漏洞。

比特币核心出现史上最严重漏洞?恶意矿工或可人为夸大比特币供应

根据比特币核心(Bitcoin Core)开发人员最新披露的声明 CVE-2018-17144 显示,他们最新修补的漏洞破坏力可能比预想的要严重的很多。

比早期公布的比特币漏洞更加严重

近日,比特币核心开发人员披露了几个漏洞,可能会对比特币客户端的一些操作执行产生影响并且已经呼吁社区内的所有节点需要执行修复补丁,进行软件升级。

根据比特币核心开源网站上披露的信息,本次共发现了两个漏洞,一个是服务拒绝(Denial of Service)组件漏洞,另一个是更为严重的通货膨胀(inflation)漏洞。根据最初的报道,一些比特币核心开发人员只在 Bitcoin ABC 和比特币无限(Bitcoin Unlimited)客户端上发现了服务拒绝bug,但是他们很快判断出,这个问题可能会同时引发通货膨胀漏洞——简单的说,就是这个漏洞可能使恶意矿工通过特定类型的双重支出(double spend)交易去人为地夸大比特币供应。

现阶段,比特币核心社区称最新的 0.16.3 和 0.170rc4 版本已经修复了这些问题,同时还发布了中发现和修补漏洞的时间线。不仅如此,比特币核心卡法人员还做了进一步解释:

“在比特币核心 0.15.X、0.16.0、0.16.1 和 0.16.2 三个版本中,任何人尝试在一个区块内的单个事务中进行双重支出交易输出,且该支出的输出被创建在统一去看中,那么就会发生相同的断言失败(assertion failure),这个问题已经存在于0.16.3 补丁包中的测试用例中,因此0.16.3补丁升级应该可以解决这个问题。但是,如果在前一个区块中创建了双重支出的输出,那么一个‘entry’仍然会保留在CCoin映射中,并且DIRTY标志已经被设置、或是已经被标记为‘已支出(spent)’,因此就不会产生此类断言,比特币价值就会被用两次,继而会让矿工制造通货膨胀,也就是夸大比特币供应。”

(编者注:编写代码时,我们总是会做出一些假设,断言就是用于在代码中捕捉这些假设。断言表示为一些布尔表达式,程序员相信在程序中的某个特定点该表达式值为真,可以在任何时候启用和禁用断言验证,因此可以在测试时启用断言而在部署时禁用断言。同样,程序投入运行后,最终用户在遇到问题时可以重新启用断言。)

一开始,比特币核心开发人员发现的是一个“不算很大”但仍较为严重的Dos错误,该问题会导致矿工节点朋克,并破坏比特币网络。然而,这么做会导致他们放弃自己的区块奖励——现阶段,即为 12.5 BTC(约合 83,500 美元)。

同样根据比特币核心发布的声明披露,这个错误其实从 0.14 版本就一直存在于比特币核心软件中了——尽管直到最近才被发现。而在比特币核心 0.15 版本中,出现的bug则能让恶意矿工通过特定类型的双重支出交易去人为地夸大比特币供应。

比特币核心社区呼吁尽快进行补丁升级

比特币核心开发人员表示,尽管本次漏洞严重性还没有达到无法控制的地步,但仍然强烈建议社区升级软件,而且通过延迟发布全部问题,已经给系统升级提供了足够的时间,矿工、企业和其他受影响的系统需要尽快部署补丁。

比特币核心出现史上最严重漏洞?恶意矿工或可人为夸大比特币供应

此外,目前有超过一半的比特币哈希率已经升完成了修补节点升级,但还不知道任何是否会有人企图利用此漏洞。但是,受影响的用户可以使用最新的补丁进行升级,这样就能确保不会出现大规模重组、挖掘无效区块、或是接受无效事物等情况的发生。

另一方面,比特币社区成员、也是 Bitcoin.org 网站拥有者之一的 Theymos 认为,升级到比特币核心 0.16.3 版本是必需的。他透露,大约有不到 200 次确认的交易都会存在被撤销的可能性,如果不加以重视,未来可能会出现分裂。

值得一提的是,目前比特币核心节点升级貌似仍然未能在社区内达成一致。

另一位比特币核心开发人员 Luke-jr 声称现在就更新补丁还为时过早。他在推特上写道:

“在我看来,升级发布补丁时间太过早了,目前只有2%的网络进行了升级。”

Luke-jr 甚至表示,矿工巨头比特大陆有可能利用本次漏洞制造通货膨胀并摧毁比特币网络,而不是等待这个漏洞被修复并维护网络安全和价格稳定性。

比特币核心漏洞处理方式引发争议

Bitcoin.org 另一位联合拥有者、也是比特币现金(BCH)的倡议者 Cobra 认为,本次漏洞的潜在影响非常可怕,而且比特币核心社区处理此漏洞的方式也不尽如人意。他在推特上发文表示:

“比特币核心处理这个漏洞的表现非常差劲,他们首先撒谎称该漏洞只是一个 Dos 问题,现在真相大白,确认此漏洞会让恶意矿工通过特定类型的双重支出交易去人为地夸大比特币供应,而且这个风险警告还是从比特币现金社区发出的!”

正如比特币核心开发人员 Luke-jr,漏洞问题现在已经出现,比特币网络似乎并不像人们想象的那么安全,仍然还有很长的路要走。

原创文章,作者:Moni。转载/内容合作/寻求报道请联系 report@odaily.com ;违规转载法律必究。

参与讨论

登录后参与讨论

Moni

新锐作者

Moni

这个作者有点忙,还没写简介

总文章数: 124


分享至

微信扫一扫分享

0
金融比特币

Copyright 2017-2018 Beijing Star Node Media Culture Co., Ltd.