两年后，比特币软件中已被修复的“高风险”漏洞被公开

如果两年前没有悄悄修复的话，比特币核心软件中一个之前未披露的漏洞可能会导致攻击者窃取资金，延迟结算，或者将最大的区块链网络分割成相互冲突的版本。

这是根据分布式云储存协议Storj的首席开发人员Braydon Fuller在周三发布的一篇论文（该漏洞于2018年6月被发现）以及Handshake协议的核心开发人员Javed Khan所发表的论文中被披露的。

漏洞的严重等级为7.8，漏洞分级为1至10，被认为是"高风险"（9或更高级别被视为"严重"）。 Khan告诉CoinDesk，这是由于"远程节点"无法从其内存中清除无效交易引起的。

无法清除这些无效交易可能导致攻击者向受害者节点注入过时的数据，称为"不受控制的资源消耗"，最终导致该节点关闭。

"没有机制来确保交易的待处理详细信息有效或无效。在某些情况下，您可以用无效的交易填充远程数据库。" Khan说。

Fuller写道，并没有人尝试通过该漏洞牟利。由于节点运营商花费了比预期更长的时间来更新漏洞，因此无法在两年内被公开。

现在，该漏洞已被修复，但这次披露漏洞凸显了在人类创建的编程语言上建立全球货币标准的困难，更不用说参与开发顶级加密货币的高技术障碍。

该漏洞于2017年11月被引入到Bitcoin Core。据该论文称，当时约有50％的Bitcoin节点受到了攻击。早期版本的Bitcoin Core不会受到影响。

Khan进一步表示，该漏洞可能使攻击者能够从Lightning Network上通过具有开放通道的节点窃取资金，Lightning Network是在比特币区块链之上构建的实验性支付系统。

2018年Fuller向核心团队披露后，Bitcoin Core0.16.0和0.16.1版本，受到了开发人员Matt Corallo的影响和修补。截至发稿时，Corallo并未回答记者提出的问题。

在Fuller发现漏洞之后的两个月，他们又在Bitcoin Core 0.16.3中解决了另一个Bitcoin错误。比特币核心团队当时写道，这也是拒绝服务攻击的一个载体，该漏洞的一个方面使矿工可以"增加比特币的供应"，因为他们可以将某些价值指出增加一倍。

Khan和Fuller写道，该比特币核心版本发布的紧急补丁也解决了Fuller的错误。

2018年，美国国家标准与技术研究院(NIST)的常见漏洞与公开(CVE)注册表中，CVE-2018-17145为资源消耗漏洞预留了一个位置，但尚未填写。注册表充当了软件bug的公共术语表。

比特币的核心是网络软件的参考实现或标准版本，其他软件都是从该网络软件派生而来的。 根据这份白皮书，比特币及其分支的其他几个实现也可能存在利用漏洞的情况：

比特币节点v0.16.0

所有BcoinBetav1.0.0-pre之前的版本

所有Btcdv0.20.1-beta之前的版本

莱特币核心版本v0.16.0

Namecoin Core v0.16.1

Dcrd v1.5.1之前的所有版本。

所有这些实现均已修复。

本文来源：链焦点
原文标题：两年后，比特币软件中已被修复的“高风险”漏洞被公开

—-

编译者/作者：链焦点

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。