修复两年后揭示了比特币软件中的“严重”漏洞

如果两年前没有对其进行悄悄修补，则Bitcoin Core软件中以前未公开的漏洞可能使攻击者能够窃取资金，延迟结算或将最大的区块链网络拆分为相互冲突的版本。

这是根据加密购物网站Purse的协议工程师Braydon Fuller于周三发表的论文得出的，该工程师于2018年6月发现此漏洞，并与Handshake协议的核心开发人员Javed Khan进行了合作。

该漏洞的严重等级为7.8，等级为1至10，被认为是“高”（9或更高级别被认为是“严重”）。 Khan告诉CoinDesk，这是由于“远程节点”无法从其内存中清除无效交易引起的。

订阅Money Reimagined，这是我们关于财务中断的新闻通讯。订阅注册后，您将收到有关CoinDesk产品的电子邮件，并且您同意我们的条款和条件以及隐私政策。

论文指出，无法清除这些事务可能导致侵略者用过时的数据淹没受害节点，即所谓的“不受控制的资源消耗”，最终导致节点关闭。

阅读更多：最新的比特币核心代码版本可防御民族国家的攻击

“没有机制可以确保交易的待定细节有效或无效。 在某些情况下，您可以用无效的事务填充远程数据库。” Khan说。

汗和富勒写道，没有人试图在野外利用该漏洞。 富勒说，由于节点运营商花费的时间比预期的要长，该漏洞无法在两年内公开披露。

尽管漏洞已得到修复，但其披露凸显了在人类创造的编程语言上建立全球货币标准的困难，更不用说参与开发顶级加密货币的高技术障碍。

该漏洞于2017年11月引入比特币核心。据该文件称，当时约有50％的比特币节点受到了攻击。 早期版本的Bitcoin Core不会受到影响。

比特币核心及更多

Khan进一步表示，该漏洞可能使攻击者能够从Lightning Network上具有开放通道的节点窃取资金，Lightning Network是在比特币区块链之上构建的实验性支付系统。

在Fuller于2018年7月向核心团队披露信息后，开发人员Matt Corallo影响并修补了Bitcoin Core 0.16.0和0.16.1版本。Corallo并未在发稿时回答寻求评论的问题。

富勒的发现（他也是分布式云存储协议Storj的首席开发人员）在两个月后用比特币核心0.16.3解决了另一个比特币错误。 比特币核心团队当时写道，这也是拒绝服务攻击的一个载体，该漏洞的一个方面使矿工可以“增加比特币的供应”，因为他们可以双倍花费某些价值。

Khan和Fuller写道，该比特币核心版本发布的紧急补丁也解决了Fuller的错误。

美国国家标准技术研究院的通用漏洞和暴露（CVE）注册表中为资源消耗漏洞保留了一个位置，该位置在2018年为CVE-2018-17145，但尚未填写。 该注册表充当有关软件错误的公共词汇表。

Bitcoin Core是参考实现，或者是衍生自其他软件的网络软件的标准版本。 根据该论文，该漏洞利用还可能用于比特币及其分支的其他几种实现：

所有这些实现均已修补。

更新（9月9日，世界标准时间13:30）：添加了该文章的链接以及Braydon Fuller的最新公司联系。

—-

原文链接：https://www.coindesk.com/high-severity-bug-in-bitcoin-software-revealed-2-years-after-fix

原文作者：William Foxley

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。