比特大陆S15矿机被指存在致命漏洞,可修改矿工支付地址

发布时间:2019-02-22 15:45 作者:BT110

BT110 币圈骗局_币圈打假_区块链骗局_传销币骗局_数字货币骗局_区块链维权


比特币开发人员杰姆斯·希利亚德(James Hilliard)因为提出了#91比特币改进提案而在圈内名声大噪,该提案涉及激活“隔离见证(SegWit)”并阻止“隔离见证2X”(SegWit2x)。最近,他披露了比特大陆的S15矿机固件中存在漏洞。

实际上,这个漏洞是被一名匿名安全研究员尝试出来的。杰姆斯·希利亚德在推特上披露了这位安全研究员如何测试出S15矿机固件漏洞的:

“@BITMAINtech 比特大陆尝试、但未能锁定S15固件,我发现了其中的漏洞。之后,安全研究员@00whiterabbit 编写并测试了一段攻击代码。一旦@BITMAINtech 比特大陆遵守固件通用公共授权协议许可(GPL),我就会向他们披露这个漏洞,以便他们可以修复它。”

基本上,这个漏洞允许攻击者做任何事情,包括修改矿工的支付地址。之前,一个名为“Antbleed”的漏洞能够把任何一台蚂蚁矿机远程关闭,从而给整个比特币网络带来巨大风险,毕竟比特币网络严重依赖比特大陆的挖矿硬件。

比特大陆被要求必须公开代码

杰姆斯·希利亚德和推特网名叫做“00whiterabbit”的匿名安全研究员提出可以披露该漏洞的信息信息,而且也愿意帮助修复这个漏洞。但他们有一个要求:比特大陆必须停止继续违反 GNU通用公共授权协议(GNU General Public License)。通用公共授权协议规定 GPL 衍生产品应该是“免费的”,就像自由(freedom)一样免费——用户应该有权访问代码以便使用、修改和创建自己的衍生产品。

比特币核心软件包本身是开源的,也是在 MIT License 下的。MIT许可证之名源自麻省理工学院(Massachusetts Institute of Technology, MIT),又称“X条款”(X License)或“X11条款”(X11 License)。MIT内容与三条款BSD许可证(3-clause BSD license)内容颇为近似,但是赋予软件被授权人更大的权利与更少的限制。

实际上,杰姆斯·希利亚德的要求在某种意义上并非随意为之,因为S15蚂蚁矿机使用了挖矿工具CGMiner的代码。如果比特大陆未能发布其固件的源代码, 杰姆斯·希利亚德和推特网名叫做“00whiterabbit”的匿名安全研究员就会做出反应,释放这个漏洞。

但是,对比特币矿工开放这个漏洞并不是一件轻而易举的事情,因为攻击者必须要能够访问网络才能在蚂蚁矿机上打开 shell 执行文件。

问题似乎非常严重

此前的“Antbleed”漏洞已经非常严重了,但是据称这个被叫做“antsploit”的新攻击可能会给比特大陆用户造成更多破坏。事实上,任何能够想象到的“坏事”都有可能发生,比如切换你正在挖掘的矿池、更改你的支付地址等。不过,这个漏洞属于比特大陆硬件的底层级别,意味着现阶段普通攻击者还无法展开攻击。

杰姆斯·希利亚德推测,比特大陆可能已经关闭了源码,以防止用户超频他们的硬件,此举可能会增加他们的服务成本。他说道:“比特大陆根本不在乎遵不遵守版权法,但不幸的是,关闭固件源码在比特币网络里可不是一件好事,因为像Antbleed这样的漏洞可能会隐藏其中,这是一种中心化风险。”


BT110 空气币骗局、山寨币骗局、传销币骗局、数字货币骗局、虚拟货币骗局、币圈骗局、币圈打假、区块链投资骗局,爆料币圈黑幕,并为所有数字货币投资者提供免费的项目咨询服务,提升防骗意识,传递社会正能量,请加QQ:3471780458。


标签: 比特大陆

评论区 0条评论

暂无评论

    发表评论