研究人员将比特币交易 DoS 漏洞的细节隐藏了两年以避免攻击

2018 年，一名安全研究人员在驱动比特币区块链的软件 Bitcoin Core 中发现了一个严重漏洞。 然而，为了避免被黑客滥用，研究人员在报告漏洞并修复后将细节隐藏了两年。

上周，当另一种加密货币使用尚未收到补丁的比特币代码暴露出同样的缺陷时，研究人员公开了细节。

比特币库存溢出拒绝服务攻击

这个漏洞被称为 INVDoS（Inventory DoS），这是一种经典的拒绝服务攻击。 虽然 DoS 攻击在许多情况下不会造成损害，但它们与可从 Internet 访问的系统不同，需要有稳定的正常运行时间来处理事务。

比特币协议工程师 Braydon Fuller 在 2018 年发现了 INVDoS。他发现攻击者能够创建恶意比特币交易。 这些交易在由比特币区块链节点处理时比特币漏洞，可能会导致服务器内存资源不受控制地耗尽，最终导致受影响的系统崩溃。

“在发现时，它代表了超过 50% 的具有入站流量的公开可用比特币节点，可能是大量矿工和交易所，”富勒说。 此外，INVDoS 漏洞不仅仅影响运行比特币核心软件（服务器）的比特币节点。 运行 Bcoin 和 Btcd 的比特币节点也受到了影响。 其他基于原始比特币协议构建的加密货币也受到影响，例如莱特币和域名币。

富勒表示，该漏洞可能“导致资金或收入损失”，因此非常危险。 他指出，“关闭节点和延迟区块或导致网络临时分区可能会导致挖矿时间或电力支出的损失比特币漏洞，从而导致资金损失。 或因违反或延迟时间敏感的合同或阻止经济活动而造成损失。 它可能会影响商业、交易所、原子互换、契约和闪电网络 HTLC 支付渠道。”

两年后漏洞再次出现

当时，INVDoS 漏洞已通知所有责任方，并已修复，编号为 CVE-2018-17145。 为避免被利用，并未披露该漏洞的许多细节。

然而，那年夏天，另一位比特币协议工程师 Javed Khan 在寻找 Decred 加密货币漏洞时重新发现了该漏洞。 Khan 将漏洞告知了 Decred 漏洞赏金计划，并最终在上个月将其公开。

该漏洞的全部细节已经披露，因此分叉旧版本比特币协议的其他硬币也可以检查它们是否受到影响。

Fuller 和 Khan 说，到目前为止，还没有证据表明该漏洞正在被利用。

完整报告可在以下网址获得：

原文链接