<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 資訊 安全報 查看內容

              比特幣核心出現史上最嚴重漏洞?

              2018-9-24 08:26| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 根據比特幣核心(Bitcoin Core)開發人員最新披露的聲明 CVE-2018-17144 顯示,他們最新修補的漏洞破壞力可能比預想的要嚴重的很多。根據比特幣核心(Bitcoin Core)開發人員最新披露的聲明 CVE-2018-17144 顯示,他 ...

              根據比特幣核心(Bitcoin Core)開發人員最新披露的聲明 CVE-2018-17144 顯示,他們最新修補的漏洞破壞力可能比預想的要嚴重的很多。

              根據比特幣核心(Bitcoin Core)開發人員最新披露的聲明 CVE-2018-17144 顯示,他們最新修補的漏洞破壞力可能比預想的要嚴重的很多。

              比早期公布的比特幣漏洞更加嚴重

              近日,比特幣核心開發人員披露了幾個漏洞,可能會對比特幣客戶端的一些操作執行產生影響并且已經呼吁社區內的所有節點需要執行修復補丁,進行軟件升級。

              根據比特幣核心開源網站上披露的信息,本次共發現了兩個漏洞,一個是服務拒絕(Denial of Service)組件漏洞,另一個是更為嚴重的通貨膨脹(inflation)漏洞。根據最初的報道,一些比特幣核心開發人員只在 Bitcoin ABC 和比特幣無限(Bitcoin Unlimited)客戶端上發現了服務拒絕bug,但是他們很快判斷出,這個問題可能會同時引發通貨膨脹漏洞——簡單的說,就是這個漏洞可能使惡意礦工通過特定類型的雙重支出(double spend)交易去人為地夸大比特幣供應。

              現階段,比特幣核心社區稱最新的 0.16.3 和 0.170rc4 版本已經修復了這些問題,同時還發布了中發現和修補漏洞的時間線。不僅如此,比特幣核心卡法人員還做了進一步解釋:

              “在比特幣核心 0.15.X、0.16.0、0.16.1 和 0.16.2 三個版本中,任何人嘗試在一個區塊內的單個事務中進行雙重支出交易輸出,且該支出的輸出被創建在統一去看中,那么就會發生相同的斷言失敗(assertion failure),這個問題已經存在于0.16.3 補丁包中的測試用例中,因此0.16.3補丁升級應該可以解決這個問題。但是,如果在前一個區塊中創建了雙重支出的輸出,那么一個‘entry’仍然會保留在CCoin映射中,并且DIRTY標志已經被設置、或是已經被標記為‘已支出(spent)’,因此就不會產生此類斷言,比特幣價值就會被用兩次,繼而會讓礦工制造通貨膨脹,也就是夸大比特幣供應。”

              (編者注:編寫代碼時,我們總是會做出一些假設,斷言就是用于在代碼中捕捉這些假設。斷言表示為一些布爾表達式,程序員相信在程序中的某個特定點該表達式值為真,可以在任何時候啟用和禁用斷言驗證,因此可以在測試時啟用斷言而在部署時禁用斷言。同樣,程序投入運行后,最終用戶在遇到問題時可以重新啟用斷言。)

              一開始,比特幣核心開發人員發現的是一個“不算很大”但仍較為嚴重的Dos錯誤,該問題會導致礦工節點朋克,并破壞比特幣網絡。然而,這么做會導致他們放棄自己的區塊獎勵——現階段,即為 12.5 BTC(約合 83,500 美元)。

              同樣根據比特幣核心發布的聲明披露,這個錯誤其實從 0.14 版本就一直存在于比特幣核心軟件中了——盡管直到最近才被發現。而在比特幣核心 0.15 版本中,出現的bug則能讓惡意礦工通過特定類型的雙重支出交易去人為地夸大比特幣供應。

              比特幣核心社區呼吁盡快進行補丁升級

              比特幣核心開發人員表示,盡管本次漏洞嚴重性還沒有達到無法控制的地步,但仍然強烈建議社區升級軟件,而且通過延遲發布全部問題,已經給系統升級提供了足夠的時間,礦工、企業和其他受影響的系統需要盡快部署補丁。

              此外,目前有超過一半的比特幣哈希率已經升完成了修補節點升級,但還不知道任何是否會有人企圖利用此漏洞。但是,受影響的用戶可以使用最新的補丁進行升級,這樣就能確保不會出現大規模重組、挖掘無效區塊、或是接受無效事物等情況的發生。

              另一方面,比特幣社區成員、也是 Bitcoin.org 網站擁有者之一的 Theymos 認為,升級到比特幣核心 0.16.3 版本是必需的。他透露,大約有不到 200 次確認的交易都會存在被撤銷的可能性,如果不加以重視,未來可能會出現分裂。

              值得一提的是,目前比特幣核心節點升級貌似仍然未能在社區內達成一致。

              另一位比特幣核心開發人員 Luke-jr 聲稱現在就更新補丁還為時過早。他在推特上寫道:

              “在我看來,升級發布補丁時間太過早了,目前只有2%的網絡進行了升級。”

              Luke-jr 甚至表示,礦工巨頭比特大陸有可能利用本次漏洞制造通貨膨脹并摧毀比特幣網絡,而不是等待這個漏洞被修復并維護網絡安全和價格穩定性。

              比特幣核心漏洞處理方式引發爭議

              Bitcoin.org 另一位聯合擁有者、也是比特幣現金(BCH)的倡議者 Cobra 認為,本次漏洞的潛在影響非常可怕,而且比特幣核心社區處理此漏洞的方式也不盡如人意。

              Tag標簽:

              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6604428315627356679/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

              最新

              返回頂部
              十一选五奖金对照表