今日,Bitcoin Unlimited軟件被曝存在一個遠程DOS崩潰漏洞,有近70%的BU節點因被攻擊而崩潰下線。

因為這一漏洞,攻擊者可通過向節點發送某種類型的消息導致它們脫機。所謂節點,它是負責區塊鏈交易驗證,維持整個交易歷史記錄副本的存在。

這一問題最初是由BU開發者Peter Tschipper在GitHub上標記的。隨后細節便在社交媒體上傳播了出來,這也引發了該項目的支持者以及批評者的廣泛討論。

在BU節點數大量下降之后,關于這一漏洞的討論越來越激烈。

根據加密貨幣網站Coin.Dance的數據顯示,在攻擊期間,BU節點數最低下降到了252個。

這次攻擊事件之后,大約有780個BU節點離線,截至記者發稿時,在線的BU節點僅有240個。相比之下,比特幣全網的全節點大約有6100個。

BU是一種替代型比特幣軟件,其主張的是通過鏈上(onchain)擴容來擴展比特幣的交易吞吐量。它已經吸引了強有力的支持者,同時也引來了尖銳的批評,一些人認為它提供了一個擴展網絡規模的途徑,而另一些人則批評它會導致比特幣網絡分裂。

Bitcoin Core開發者Peter Todd在其個人twitter上評論稱:

“ BU遠程DOS崩潰漏洞:https://github.com/BitcoinUnlimited/BitcoinUnlimited/pull/371/files
這是多么離譜的漏洞:assert(0) in和一個if分支明顯被不受信的網絡輸入控制了。#檢查代碼
貌似這個遠程DOS崩潰漏洞在BU上已經存在了一年,也許會是更長的時間。”

截至發稿時,BU開發者Andrew Stone已發布了最新1.0.1.1版本的?BU軟件,并聲稱解決了這一漏洞問題:

https://github.com/BitcoinUnlimited/BitcoinUnlimited/releases/tag/1.0.1.1

此外,他還給出了這一漏洞的:


BUIR-2017–2–23: 全網范圍內比特幣客戶端故障聲明

2017年2月23日和2017年3月6日,約5%的“中本聰”比特幣客戶端(Bitcoin Core,Bitcoin Unlimited,XT)暫時性地連不到網絡(詳見1,2,點這里可以看到2月23日左右的數據范圍)。 對該時間段完整節點的日志分析顯示重復的“PROCESSMESSAGE:INVALID MESSAGESTART”出錯信息。 當節點連接并發送一些不良數據到另一個節點時,會出現這些信息(PROCESSMESSAGE:INVALID MESSAGESTART)。 我們對PROCESSMESSAGE:INVALID MESSAGESTART代碼路徑的影響的分析顯示了罕見的節點崩潰的。 這就是為什么節點會暫時性丟失。

雖然我們無法確定這些信息是故意的,但我們發現一個異常的,難以創建的輸入結果為負的結果,所以我們將其歸為網絡攻擊。盡管迄今為止這種攻擊的負面影響是微乎其微的,我們選擇遵循負責任的披露程序,請礦工,比特幣企業和客戶端開發人員不要對外說這件事,等到補丁和升級完成。

我們已經在Bitcoin Unlimited 1.0.1.0版本中實現了2類修復。 首先,我們已經確定了節點崩潰的根本原因,并修復了它們。 其次,我們對導致“INVALID MESSAGESTART”錯誤的任何節點添加了4小時的禁令。 由于攻擊似乎是概率性的(對于單個故障潛在地需要幾百個“INVALID MESSAGESTART”錯誤),4小時的禁令將限制攻擊者造成該錯誤的能力,雖然這樣我們不能從根本上修復。

這不是一個關鍵問題,因為節點故障的可能性似乎只有5%。 然而,攻擊者可能通過制定更有效的攻擊序列或使用更多的機器攻擊網絡來提高此故障率。 因此,我們敦促您盡快升級到Bitcoin Unlimited1.0.1.0版本或不同客戶端的修補版本。

發文時比特幣標準價格 買價:¥7972.00 賣價:¥7889.00

編譯:隔夜的粥
稿源(譯):巴比特資訊()
版權聲明: