据 ChainCatcher 报道,Bitcoin Core 开发人员发布高危警告,称每六个比特币节点中就有一个存在软件漏洞。运行在网络 17% 节点上的软件存在重大安全问题,所有低于 Bitcoin Core 版本 24.0.1 的软件均存在风险。
根据 Bitnodes 的监控估算,这个拒绝服务漏洞影响了可访问的比特币完整节点的 19,200 个自称用户代理中的大约 3,330 个。恶意行为者可以使用低难度的 header 链向节点发送垃圾邮件,导致节点崩溃。
开发人员在 Bitcoin Core 拉取请求编号 25717 中修复了这个漏洞,并在 2022 年 12 月 12 日随着 v24.0.1 版本的发布将其合并到生产中。当前的 Bitcoin Core 节点软件版本为 27.1,包含此漏洞和其他漏洞的修复。
虽然这个漏洞相当严重,但公开记录中已知的利用该漏洞的攻击案例很少。由于生成和广播区块 header 链以执行拒绝服务攻击的成本相当高,因此该漏洞对攻击者来说几乎没有经济利益。
据 Foresight News 报道,Bitcoin Core 项目披露了由于垃圾邮件头导致的内存 DoS 泄露的比特币网络安全漏洞,并表示该问题严重性较高。
在 Bitcoin Core v24.0.1 之前,攻击者可以使用低难度的头链向节点发送垃圾邮件,远程导致对等节点崩溃。
Bitcoin Core 已实现针对此 DoS 的保护,节点将首先验证所呈现的链是否有足够的工作,再承诺存储它,从而使得 Bitcoin Core 不再依赖检查点来防范任何已知攻击。
据Odaily星球日报报道,Arthur Hayes 家族理财办公室 Maelstrom 宣布已将其比特币开发者计划的首笔赠款授予贡献者 Rkrux。这笔资金将支持 Rkrux 全职从事 Bitcoin Core 工作,具体资助金额暂未透露。