Odaily星球日报讯 比特币开发者近日再次披露了一项严重软件漏洞的细节。据高级 Core 开发人员称,全球超过 13%执行比特币规则的家用和商用计算机容易受到远程关机(Remote Shutdown)的影响。
该漏洞名为 CVE-2024-35202,影响运行 Core 软件 25.0 之前版本的比特币节点。没有更新到至少 25.0 的节点会允许攻击者远程利用处理区块交易(' blocktxn ')消息的软件逻辑中的断言(assertion)。值得一提的是,该漏洞对普通攻击者来说几乎没有经济利益。
具体来说,该漏洞源于 Core 的致密区块(compact block)协议,该协议使用缩短的交易标识符来减少互联网带宽的使用。攻击者可以在这些标识符中触发冲突,导致节点请求一个完整的区块。
尽管请求完整的、未删节的区块是一种安全预防措施,但 25.0 之前的软件版本在处理后续 blocktxn 消息的逻辑上存在缺陷。简而言之,可以通过操纵逻辑门迫使节点进入无效状态,从而导致节点完全崩溃。
Niklas Gögge 发现并披露了该漏洞,他还提供了 Bitcoin Core v25.0 中部署的补丁。他在 Bitcoin Core 的 pull request 编号 26898 中修复了这个漏洞,其他开发人员在 2023 年 5 月 26 日之前将其合并到生产中。
BitNodes.io 信息显示,在运行比特币网络的 18,843 个节点中,有 13.7%容易受到攻击。开发人员敦促所有节点运营商更新其软件以修复此漏洞。Bitcoin Core 软件的最新版本为 28.0。(Protos)
