Close

淘金网币圈快讯 > 币圈交易平台 > 比特币现金漏洞追踪始末:我为什么匿名帮助

比特币现金漏洞追踪始末:我为什么匿名帮助

币圈快讯 币圈交易平台 2021年11月24日

比特币现金漏洞追踪始末:我为什么匿名帮助对手找bug?

  体实验室的数字货币项目研究社区的比特币核心钱包开发人员编者注:本文作者Cory Fields是麻省理工学院媒,露事件的当事人也是此次漏洞披▼●●。数月时隔,的始末以及他对此的思考他撰稿写下了这起事件☆○,货币领域的关注希望引起加密。

  4月25日2018年▽◇,币现金(BCH)的一个关键漏洞我以匿名的方式私下披露了比特。有价值的加密货币之一比特币现金是世界上最,币圈平台那个最好BTC)不同与比特币(•△★。利用这个安全漏洞如果有黑客成功地,极大的破坏可能会造成,不再可能安全进行下去导致比特币现金的交易,币本身的使用以及价值最终会完全破坏该货。情况是事实,的情况下得到了很好的修复这一漏洞在没有发生事故,日向公众披露了这起事件并于2018年5月7☆★★。

  金做一个简单的说明首先要对比特币现◇▼▽。▼☆•、而且与比特币不兼容的加密货币比特币现金是一种不同于比特币。这样命名之所以,源自比特币是因为它。洞只对比特币现金产生了影响下文描述的已经修复好的漏;关的就是它们的名字很相似比特币现金与比特币唯一相。

  在麻省理工学院媒体实验室的数字货币项目工作至于我为什么要这么做?我的动机是什么?我,思义顾名▲□,开发加密货币的团队这是一个负责研究和…☆○。来说具体▽▼△,钱包以及比特币的主要软件实现我帮助开发和维护比特币核心。这项工作由于承担▽…,战是什么?而我的回答总是一样的○…•:比特币未来一定要注意避免灾难性的软件漏洞我经常在会议和研讨会上被问到这样一个问题:你认为未来比特币面临的最大挑。

  带来灾难性后果的漏洞通过研究这个有可能,密货币世界中被严重低估了我确信软件漏洞的威胁在加◁◇。了一个详细的报告我对这一事件提供,小题大做这不是,界的例子让人们了解到而是希望以这个真实世★…△,程水平还有很多工作仍然要做要达到加密货币所需的复杂工,做好充分准备的公司敲响了警钟同时也给那些还没有为这种情况。

  言之简而,验证代码被重写一部分交易签名,特定位(bit)的关键检性查但新代码省略了对签名类型中。SIGHASH_BUG我在本文中将这个位称为。特币现金区块链分叉成两条不兼容的链这种省略行为将使一个特制的交易把比。这种分叉的重要性下一节我将描述。复的详细信息有关漏洞和修◇▪•,开的文本请参阅公。

  加密货币大多数,和比特币现金包括比特币■…,所有交易的分类帐来运行通过向所有参与者分发。进行消费为了能够★▼=,首先创建一个交易货币持有者必须,系统的所有规则这个交易要遵守。多数都很明显这些规则大△●,直接很,超出你所拥有的数量”例如“你的花费不能,则更加微妙但其他规则,性更强技术,名应该如何格式化的规则尤其是那些描述数字签。是但,是不允许使用的如果加密货币,所谓的验证规则呢那么谁来设置这些●□▪?

  每个人来决定的系统的规则是由,则是软件的工作而执行这些规。欺骗并创建一个交易如果一个参与者试图△△☆,交易中在这笔▪□,是自己的货币他花费的不▪■,会简单地拒绝这笔交易那么其他参与者的软件。此因,易被普遍接受为了确保交▷▼▲,所有的规则它必须遵守,迂腐至极哪怕规则•☆▲。

  软件需要不断地改进负责执行验证规则的。特性、提高安全性等为了提高性能▷◁…、增加-○▽,进行更改需要不断。是但,规则的方式必须保持完全相同从一个版本到另一个版本执行,非常重要这一点-◁。

  么那◁△=,程漏洞导致交易被认为是有效的如果新版本软件中的一个意外编,都将其视为无效时而之前的所有版本△▪,结果就是“区块链分裂▪☆•”会发生什么情况呢?其,参与者子集才会接受上述交易这意味着只有升级了该软件的•◇◁。是链接在一起的由于交易和区块■▪,来的每笔交易上都不一致因此这两个子集在接下。人员的快速行动如果没有开发,者团结统一到一起没有让所有参与,将永远无法达成一致这两个参与者阵营▼☆…。那时到,裂为两种不兼容的货币这种货币实际上已经分,易将不再可能像以前那样交。

  漏洞的潜在影响时在权衡诸如此类的,关重要的作用时机起着至。被分割成两块如果区块链■★◁,与者在一边99%的参★…,与者站在另一边而只有1%的参,在一起就是前进的道路那么显然与多数人站。而然◆•★,人已经升级到新版本如果大约有50%的☆■•,简单的选择了那么就没有。

  软件新版本中发现了这种分链漏洞我在比特币现金最受欢迎的一个,络升级到它之后才发现的但这是在将近一半的网•▲。

  是免费的开源软件由于比特币现金,兴加密货币的起点它经常被用作新。年的改进之外除了受益于多,还意味着共享代码▪▷◇,可以从彼此的改进中获益其他不相关的加密货币。ABC(Bitcoin ABC)比特币现金的主要软件被称为比特币,心钱包的软件之一是基于比特币核。

  的通用代码由于大量,常会有类似的漏洞这些派生项目通,似的漏洞修复因此也会有类。是但,货币的开发人员分享他们的改进是不现实的期望一种货币的开发人员积极主动地与其他■-,项目就是足够困难了因为单单要跟上一个。个原因出于这,一个习惯我养成了★◇-,些项目进行一些修改每隔几个月就会对这◆•◁,心钱包相关的漏洞修复以查找可能与比特币核。

  特币ABC的变更日志时在今年早些时候查看比-▷○,个关键部分已经被重构我注意到交易验证中一。引了我的注意力这些变更立即吸,乎是没有必要的因为这些变更似☆▷=。变更的好奇出于对这些■▼,对这些变更的评论我看了一下公众。装”之外除了▲▼“封,理由能解释没有任何。有两个审核人这个变更只,代码就被接受了审核持续一周后。

  非常常见的大型重构是●□•,开发中的良好实践通常是特定软件。是但◆☆▽,证代码是极具风险的修改加密货币的验▼■◆,引入了一个链分叉错误极有可能会在无意中。

  少而变更很大后在看到评论很◆▷,很有可能已经产生我认为一个漏洞,查看了一下所以我就去◇▽◇。BUG花了不到10分钟找到SIGHASH_。

  可被人利用后在确认该漏洞,现金协议的全节点实施)开发人员我开始通知比特币ABC(比特币,遇到了一个大问题但很快意识到我▷▲。源软件中的一个漏洞这是公开可用的开,发现了这个漏洞可能已经有人•○○。修复程序之前在完全部署,人发现并利用这个漏洞没有什么可以阻止其他。

  糕的情况下那么在最糟,以非公开的形式披露了这个漏洞会怎么样呢?假设我以我的名义▲☆,在第二天匿名利用了这个漏洞而其他人也找到了这个漏洞并。的名字进行披露因为我使用我□-▽,击比特币现金网络的知识和手段所以会有足够的证据证明我有攻,我不是攻击者而我无法证明。而然■□•,洞被利用如果漏,十亿美元的损失可能会造成数○-○,这些人要高得多代价远比杀害。非常重要的所以匿名是▼▽◆,的安全是必要的我认为这对我。

  可以完全匿名披露时在试图弄清楚是否▼△,得我花费这么多精力我开始怀疑它是否值。竟毕,报告任何事情我没有义务。是但■▪,中发现了一个同样严重的漏洞如果有人在比特币核心钱包,慎和安全的方式引起我们的注意我会很希望这个人以尽可能谨◇▷△。创建我想要阅读的报告所以我决定这样做◆▪:,准来写这个报告按照我想要的标○☆。

  很明显第一步,C的责任信息披露政策我需要追踪比特币AB。今如,的策略很常见处理此类问题,键项目来说都是必备的并且对于任何安全关▲=。的是遗憾★▪,代码库中找不到这样的策略我在比特币ABC网站或。GitHub问题跟踪器时在我提交一个漏洞到他们的▼-◇,近的一个策略我找到了最接。

  没有帮助然而这★▪•。后然,币圈平台特币ABC开发人员的加密密钥我开始试图找到公开发布的比。密一条消息我向他们加,人可以查看它确保没有其他,心如何传递消息了这样我就不用担。密钥持有者的身份我无法实际验证▲•▼,然是相当安全的但这种方法仍,有加密要好得多而且比根本没。

  是但,币圈交易平台到了障碍我又遇。列出任何主要开发人员的密钥公共PGP密钥服务器上没有▽◇,PGP密钥服务器上找到的而这些密钥通常都是在公共▼▽,存储库中也没有而且它们的代码□-○。时当,无选择我别,线渠道匿名请求密钥只能通过不同的在,能掩盖我的身份使用Tor尽可。

  25日4月,性的Github账户我首先创建了一个一次,BC开发人员发送了请求并在那里向一些比特币A。

  幸的是值得庆,法奏效了这个方!个小时后大约5◇=●,一把密钥我收到了,进行了加密的详细披露然后迅速用它对问题。而然□■,来查看回复时当我第二天回,了我的一次性账户Github标记•▽,使用了Tor大概是因为我。b继续进行进一步的接触所以我无法在Githu,接收到了我的披露我只得假设没有人。

  了加密密钥现在我有,BC的漏洞追踪器提交了一条加密消息我决定尝试最后一种方式:向比特币A★○,和一个一次性账户同样是使用Tor。小时后6个,任何回复后在没有收到,上做了最后一次请求我在他们的追踪器。

  27日4月,48个小时后在等待了大约,ull request比特币ABC发出了p■-=,了这个问题秘密解决。到了我的信息显然他们收。功成▼◇!

  金漏洞已成功披露我发现的比特币现,经得到修补且目前已,现金造成明显影响最终没有对比特币。是但○○,这种漏洞的分析中得到一些经验和教训如果整个加密货币生态系统没有从对,一种遗憾那将是•…。货币开发者作为加密=◇,在后退一步有必要现◁○◆,可以使用的工具重新评估我们,的政策和程序以及我们实施。这些漏洞带来的威胁我们可能无法消除,学习并做好准备但我们可以从中,处理它们以便将来□★。

  、热点资讯、八卦爆料每日头条、业界资讯△●▷,微博播报全天跟踪▷◇。花边、资讯一网打尽各种爆料、内幕-•、。粉丝互动参与百万互联网,方微博期待您的关注TechWeb官。

标签: 拓扑链平台