根据比特币核心开发人员最新披露的声明CVE-2018-17144显示,他们最新修补的漏洞破坏力可能比预想的要严重的很多。比早期公布的比特币漏洞更加严重近日,比特币核心开发人员披露了几个漏洞,可能会对比特币客户端的一些操作执行产生影响并且已经呼吁社区内的所有节点需要执行修复补丁,进行软件升级。根据比特币核心开源网站上披露的信息,本次共发现了两个漏洞,一个是服务拒绝组件漏洞,另一个是更为严重的通货膨胀漏洞。根据最初的报道,一些比特币核心开发人员只在BitcoinABC和比特币无限客户端上发现了服务拒绝bug,但是他们很快判断出,这个问题可能会同时引发通货膨胀漏洞——简单的说,就是这个漏洞可能使恶意矿工通过特定类型的双重支出交易去人为地夸大比特币供应。现阶段,比特币核心社区称最新的0.16.3和0.170rc4版本已经修复了这些问题,同时还发布了中发现和修补漏洞的时间线。不仅如此,比特币核心卡法人员还做了进一步解释:“在比特币核心0.15.X、0.16.0、0.16.1和0.16.2三个版本中,任何人尝试在一个区块内的单个事务中进行双重支出交易输出,且该支出的输出被创建在统一去看中,那么就会发生相同的断言失败,这个问题已经存在于0.16.3补丁包中的测试用例中,因此0.16.3补丁升级应该可以解决这个问题。但是,如果在前一个区块中创建了双重支出的输出,那么一个‘entry’仍然会保留在CCoin映射中,并且DIRTY标志已经被设置、或是已经被标记为‘已支出’,因此就不会产生此类断言,比特币价值就会被用两次,继而会让矿工制造通货膨胀,也就是夸大比特币供应。”一开始,比特币核心开发人员发现的是一个“不算很大”但仍较为严重的Dos错误,该问题会导致矿工节点朋克,并破坏比特币网络。然而,这么做会导致他们放弃自己的区块奖励——现阶段,即为12.5BTC。同样根据比特币核心发布的声明披露,这个错误其实从0.14版本就一直存在于比特币核心软件中了——尽管直到最近才被发现。而在比特币核心0.15版本中,出现的bug则能让恶意矿工通过特定类型的双重支出交易去人为地夸大比特币供应。比特币核心社区呼吁尽快进行补丁升级
比特币核心开发人员表示,尽管本次漏洞严重性还没有达到无法控制的地步,但仍然强烈建议社区升级软件,而且通过延迟发布全部问题,已经给系统升级提供了足够的时间,矿工、企业和其他受影响的系统需要尽快部署补丁。
此外,目前有超过一半的比特币哈希率已经升完成了修补节点升级,但还不知道任何是否会有人企图利用此漏洞。但是,受影响的用户可以使用最新的补丁进行升级,这样就能确保不会出现大规模重组、挖掘无效区块、或是接受无效事物等情况的发生。另一方面,比特币社区成员、也是Bitcoin.org网站拥有者之一的Theymos认为,升级到比特币核心0.16.3版本是必需的。他透露,大约有不到200次确认的交易都会存在被撤销的可能性,如果不加以重视,未来可能会出现分裂。值得一提的是,目前比特币核心节点升级貌似仍然未能在社区内达成一致。另一位比特币核心开发人员Luke-jr声称现在就更新补丁还为时过早。他在推特上写道:“在我看来,升级发布补丁时间太过早了,目前只有2%的网络进行了升级。”Luke-jr甚至表示,矿工巨头比特大陆有可能利用本次漏洞制造通货膨胀并摧毁比特币网络,而不是等待这个漏洞被修复并维护网络安全和价格稳定性。比特币核心漏洞处理方式引发争议
Bitcoin.org另一位联合拥有者、也是比特币现金的倡议者Cobra认为,本次漏洞的潜在影响非常可怕,而且比特币核心社区处理此漏洞的方式也不尽如人意。他在推特上发文表示:“比特币核心处理这个漏洞的表现非常差劲,他们首先撒谎称该漏洞只是一个Dos问题,现在真相大白,确认此漏洞会让恶意矿工通过特定类型的双重支出交易去人为地夸大比特币供应,而且这个风险警告还是从比特币现金社区发出的!”正如比特币核心开发人员Luke-jr,漏洞问题现在已经出现,比特币网络似乎并不像人们想象的那么安全,仍然还有很长的路要走。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。