为避免攻击，研究员隐藏比特币交易DoS漏洞详情两年

2018年，一名安全研究员在驱动比特币区块链的软件 Bitcoin Core 中发现了一个严重漏洞，不过为避免遭黑客滥用，该研究员在报告该漏洞并修复之后将其详情隐藏了两年。

上周，另外一种密币因使用尚未收到补丁的比特币代码而曝同样漏洞，该研究员公开详情。

比特币库存内存溢出拒绝服务攻击

这个漏洞被称为 INVDoS (Inventory DoS)，是一个经典的拒绝服务攻击。虽然子啊很多情况下，DoS 攻击不会造成破坏，但它们并非可从互联网触及的系统那样需要具有稳定的运行时间才能处理交易。

比特币协议工程师 Braydon Fuller 在2018年发现了 INVDoS。他发现攻击者能够创建恶意比特币交易。当这些交易由比特币区块链节点处理时会导致服务器的内存资源的耗尽不受控制，最终导致受影响系统崩溃。

Fuller 表示，“在发现之时，它代表着超过50%的公开的具有进站流量的比特币节点，可能是大量矿工和交易所。”另外，INVDoS漏洞不只影响运行 Bitcoin Core 软件的比特币节点（服务器）。运行 Bcoin 和 Btcd 的比特币节点也受影响。构建于原始 Bitcoin 协议上的其它密币也受影响，如 Litecoin 和 Namecoin。

Fuller 表示，该漏洞可“导致资金或收益丢失”，因此是危险的。他指出，“关闭节点并延迟块或导致网络临时分区，都可导致挖矿时间丢失或电力支出，造成资金损失。或者损失也可通过破坏或延迟对具有时效的合同或阻止经济活动造成。它可能影响商务、交易所、原子交换、契据和闪电网络 HTLC 支付渠道。”

两年后漏洞再次现身

当时，INVDoS 漏洞已被告知所有负责任方且已被修复，编号为 CVE-2018-17145。为避免遭利用，该漏洞的很多详情并未披露。

然而，当年夏天，另外一名比特币协议工程师 Javed Khan 重新发现了这个漏洞，当时他正在 Decred 密币中猎洞。Khan 将漏洞告知 Decred 漏洞奖励计划并最终在上个月公开。

该漏洞的完整详情已被披露，因此其它fork 了老旧版本比特币协议的币种也可检查是否受影响。

Fuller 和 Khan 表示，截至目前，并未发现该漏洞遭在野利用的证据。

完整报告可见：https://invdos.net/paper/CVE-2018-17145.pdf

原文链接

https://www.zdnet.com/article/researcher-kept-a-major-bitcoin-bug-secret-for-two-years-to-prevent-attacks/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。