比特幣驚現(xiàn)拒絕服務(wù)漏洞,Bitcoin Core開(kāi)發(fā)者已發(fā)布緊急修復(fù)客戶端區(qū)塊鏈
這是一個(gè)嚴(yán)重的漏洞,但并不像某些人認(rèn)為的那般糟糕。
比特幣雖然是密碼貨幣世界的安全標(biāo)桿,但這并不意味著它本身不存在著漏洞。
近期,開(kāi)發(fā)人員發(fā)現(xiàn) Bitcoin Core軟件中存在著一個(gè)異常嚴(yán)重的漏洞,這促使開(kāi)發(fā)者在本周三發(fā)布了一個(gè)漏洞修補(bǔ)方案 ——0.16.3版本Bitcoin Core客戶端。
據(jù)悉,這一漏洞屬于拒絕服務(wù)式漏洞,如果被人利用,攻擊者可用于攻擊節(jié)點(diǎn),在最壞的情況下,它可暫時(shí)造成比特幣網(wǎng)絡(luò)崩潰。
然而,并不是所有人都擁有利用這一漏洞的能力,只有那些運(yùn)行挖礦硬件并處理比特幣網(wǎng)絡(luò)交易的礦工,才能夠通過(guò)雙花交易的方式來(lái)利用這一漏洞。
而對(duì)他們而言,執(zhí)行這樣的攻擊,就意味著他們會(huì)失去區(qū)塊獎(jiǎng)勵(lì),根據(jù)今天的比特幣匯率計(jì)算,這些獎(jiǎng)勵(lì)(12.5BTC)價(jià)值超過(guò)了75000美元。
據(jù)悉,該漏洞的首次引入,追溯到Bitcoin Core 0.14.0版本客戶端的發(fā)布,時(shí)間點(diǎn)是在2017年3月份。但這一漏洞在近兩天才被發(fā)現(xiàn),這促使Core代碼庫(kù)的貢獻(xiàn)者采取緊急行動(dòng),并在24小時(shí)內(nèi)最終發(fā)布經(jīng)過(guò)測(cè)試的修復(fù)程序。
幸運(yùn)的是,現(xiàn)在大多數(shù)比特幣用戶不需要做任何事。
開(kāi)發(fā)人員強(qiáng)調(diào)稱,用戶“存儲(chǔ)”的比特幣并沒(méi)有什么風(fēng)險(xiǎn),然而,這一漏洞可能會(huì)影響那些使用閃電網(wǎng)絡(luò)的人。
盡管如此,由于該漏洞對(duì)比特幣網(wǎng)絡(luò)具有潛在的風(fēng)險(xiǎn),開(kāi)發(fā)人員強(qiáng)烈建議當(dāng)前運(yùn)行全節(jié)點(diǎn)的用戶盡快升級(jí)他們的軟件,紅迪比特幣子論壇管理員Theymos也置頂了一則關(guān)于該漏洞的通知。
Bitcoin Core開(kāi)發(fā)者在軟件補(bǔ)丁注釋部分中描述道:
“我們敦促網(wǎng)絡(luò)的所有參與者盡快升級(jí)新軟件。”
會(huì)影響閃電網(wǎng)絡(luò)
著名的計(jì)算機(jī)科學(xué)家萊斯利·蘭伯特曾說(shuō):
“對(duì)于分布式系統(tǒng)而言,其中一臺(tái)你甚至不知道存在的計(jì)算機(jī)出現(xiàn)了故障,都可能致使你計(jì)算機(jī)無(wú)法使用。”
而在當(dāng)前這種特殊的情況下,制造有缺陷交易的礦工,可能會(huì)影響網(wǎng)絡(luò)上運(yùn)行的節(jié)點(diǎn)。正如比特幣OpTech newsletter所指出的那樣,礦工想要攻擊比特幣節(jié)點(diǎn),就需要去嘗試雙花一些比特幣。
而這一漏洞影響最大的,將是使用那些尚未準(zhǔn)備好的比特幣捆綁技術(shù)(閃電網(wǎng)絡(luò))的用戶。如果有人實(shí)施這樣的攻擊,可能會(huì)影響到在主網(wǎng)上運(yùn)行閃電網(wǎng)絡(luò)的比特幣用戶。
“如果你魯莽地在運(yùn)行閃電網(wǎng)絡(luò),你應(yīng)該盡快更新客戶端,或者關(guān)閉你的通道,幸運(yùn)的是,更新是很容易的,” Blockstream工程師Gregory Sanders在紅迪論壇上敦促說(shuō)。
這里需要關(guān)注的是,如果有惡意礦工利用了這個(gè)漏洞,造成一名用戶的節(jié)點(diǎn)崩潰,那么惡意參與者可能會(huì)利用這個(gè)機(jī)會(huì)欺騙其他閃電網(wǎng)絡(luò)用戶。
即便如此,一些開(kāi)發(fā)者認(rèn)為,要做到這些攻擊,其實(shí)是很難的。
“我認(rèn)為它不太可能產(chǎn)生很大的影響,”開(kāi)發(fā)者Justin Camarena告訴CoinDesk。
這就是為什么有些人認(rèn)為,普通用戶不需要擔(dān)心這一問(wèn)題。
“除非你經(jīng)營(yíng)了一個(gè)業(yè)務(wù),或者運(yùn)行了閃電網(wǎng)絡(luò)節(jié)點(diǎn),否則你并不會(huì)有資金風(fēng)險(xiǎn),” Sanders后來(lái)補(bǔ)充說(shuō)。
難以判斷其影響
然而,在比特幣的歷史背景下,這一漏洞究竟具有多大的意義,目前還難以弄清。
Blockchain.info數(shù)據(jù)工程師Antoine Le Calvez列出了一份歷年來(lái)類似漏洞的清單,表明這些漏洞在比特幣的早期階段更為常見(jiàn)。
但Bitcoin Core的貢獻(xiàn)者Luke Dashjr對(duì)此的回應(yīng)卻是,他認(rèn)為漏洞可能不會(huì)向數(shù)據(jù)顯示的那樣隨時(shí)間推移而減少。
“可悲的是,我認(rèn)為近年來(lái)我們?nèi)狈Φ氖锹┒磁豆ぷ鳎皇歉俚拈_(kāi)發(fā)工作,”他說(shuō)。
與此同時(shí),其他人也從這一漏洞中得出了其他結(jié)論,即“比特幣程序員也是凡人,他們也會(huì)犯錯(cuò)”。
OpenBazaar的首席開(kāi)發(fā)者Chris Pacia甚至認(rèn)為,雖然很多用戶認(rèn)為比特幣開(kāi)發(fā)者是世界上最棒的開(kāi)發(fā)者群體,但這也恰恰證明了,他們實(shí)際上也是會(huì)遇到障礙的普通開(kāi)發(fā)者。
“錯(cuò)誤發(fā)生了,生活中總會(huì)有這樣的事,”Chris Pacia在推特上表示,“我不是因?yàn)檫@個(gè)漏洞而批判他們,我批評(píng)的是那些堅(jiān)持Core開(kāi)發(fā)者就是‘上帝’的傻瓜極簡(jiǎn)主義者。”
盡管如此,Camarena認(rèn)為,由于這一漏洞的細(xì)微差別以及攻擊執(zhí)行難度,所以人們不太會(huì)去嘗試這樣的攻擊。
他告訴記者:
“這是一個(gè)嚴(yán)重的漏洞,但并不像某些人認(rèn)為的那般糟糕。”
附:更新方法
如果你運(yùn)行的是舊版本客戶端,請(qǐng)關(guān)閉它,直至其完全關(guān)閉(舊版本可能需要幾分鐘的時(shí)間),然后再運(yùn)行安裝程序(在Windows上)或拷貝覆蓋至/Applications/Bitcoin-Qt(Mac系統(tǒng))或bitcoind/bitcoin-qt(Linux系統(tǒng))。
當(dāng)你第一次運(yùn)行0.15.0或更新版本的客戶端時(shí),你的鏈態(tài)數(shù)據(jù)庫(kù)將轉(zhuǎn)換成一種新的格式,這取決于你機(jī)器的速度,所花費(fèi)的時(shí)間從幾分鐘到半小時(shí)不等。
注意,區(qū)塊數(shù)據(jù)庫(kù)格式在0.8.0版本中也發(fā)生了變化,并且在0.8版本之前的客戶端到 0.15.0版本的客戶端并沒(méi)有自動(dòng)升級(jí)代碼。在0.7.x版本或更早版本的客戶端,無(wú)法實(shí)現(xiàn)直接升級(jí)(需要重新下載區(qū)塊鏈)。不過(guò),和往常一樣的是,舊版本的錢包仍然是支持的。
https://bitcoincore.org/bin/bitcoin-core-0.16.3/
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
