日前,比特幣網路剛剛更新了一個巨大漏洞的修復軟體,原本可能導致整個節點系統關閉。不過幸運的是,自兩年前研發人員發現該漏洞之後,一直嚴格保密至今,駭客未曾利用過該漏洞。
概要
2018年,研發人員發現了比特幣區塊鏈中一個重大漏洞;
該漏洞或將導致駭客關閉整個區塊鏈網路;
今年,研發人員在其他許多區塊鏈中又一次發現了這個漏洞,並對此發表了相關論文。
2018年,兩名比特幣工程師發現了幾個可以立即使區塊鏈網路癱瘓的漏洞並及時對其進行了修復——時隔兩年,他們又一次在其他區塊鏈網路中發現了這一漏洞。
2018年,比特幣工程師佈雷登·富勒(Braydon Fuller)和賈韋德·坎(Javed Khan)修復了比特幣區塊鏈上的一個名為INVDoS的漏洞,不過直到上週才正式發表了一篇研究論文,詳細介紹了他們是如何在其他多個區塊鏈迭代(Btcd和Decred)中發現了同樣的漏洞。
該漏洞的攻擊路徑為:一個敵對的區塊鏈節點(驗證交易的區塊鏈網路成員)透過向另一個區塊鏈節點傳送不存在的交易資訊從而對其進行攻擊。
研究人員寫道,正是因為此類攻擊,該節點將變得不堪重負,從而導致其記憶體“不斷增長”。“這將使程序崩潰,並且可能凍結所有程序和整臺計算機,直到程序終止。”
工程師們在論文中表示,這個被稱為阻斷式服務(denial-of-service)攻擊的漏洞“很容易被駭客利用”,可以用來摧毀整個比特幣節點網路。文章稱,該漏洞可能導致處理交易的延誤,進而導致“資金或收入的損失”。
2020年6月,Khan注意到自己曾經修復過的這個漏洞同樣出現在了Btcd,Btcd是另一種不允許使用者傳送或接收款項的比特幣區塊鏈節點。一個月後,Khan在另一個區塊鏈網路Decred中發現了該漏洞。
Khan與其他區塊鏈工程師共同合作,於8月下旬推出了專門針對該漏洞的修復程式。幸運的是,“駭客世界至今並沒有利用此漏洞進行攻擊的已知途徑,”Fuller和Khan在論文中寫道。
實際上,這種全網癱瘓的情形已經多年沒有發生過了。論文指出:“就比特幣網路而言,歷史上只出現過兩個漏洞導致了此類網路癱瘓事件,而自2013年以來,再也沒有出現過一個漏洞。”
儘管如此,該漏洞的隱患還是不容小覷的,至少從其潛在影響來看確是如此。論文提到,在2018年,超過50%的“公開進行宣傳的有入站流量的比特幣節點,以及其他大部分礦工和交易所”都存在漏洞,並且面臨著被攻擊的風險。
該論文還補充強調,萊特幣(Litecoin)和域名幣(Namecoin)區塊鏈也同樣處於風險之中。儘管該論文提到,駭客們不太可能利用該漏洞竊取比特幣,但閃電網路(一種可以更快處理比特幣交易的協議)的資金可能處於危險之中。
研發人員補充說,執行較舊版本比特幣軟體的礦工和交易所可能仍然面臨風險,但大多數執行節點的人將迎來最新的修復軟體。“您或許已經得到了相關方面保護。或者,請確保自己進行了升級。”該論文提醒大家。
文章來源: 小鏈財經
翻譯:Celia
