365官网:比特大陆S15矿机被指存在致命漏洞,可修改矿工支付地址

  • 时间:
  • 浏览:184

  比特币开发人员杰姆斯·希利亚德(James Hilliard)因为提出了#91比特币改进提案而在圈内名声大噪,该提案涉及激活“隔离见证(SegWit)”并阻止“隔离见证2X”(SegWit2x)。最近,他披露了比特大陆的S15矿机固件中存在漏洞。

  实际上,这个漏洞是被一名匿名安全研究员尝试出来的。杰姆斯·希利亚德在推特上披露了这位安全研究员如何测试出S15矿机固件漏洞的:

  “@BITMAINtech 比特大陆尝试、但未能锁定S15固件,我发现了其中的漏洞。之后,安全研究员@00whiterabbit 编写并测试了一段攻击代码。一旦@BITMAINtech 比特大陆遵守固件通用公共授权协议许可(GPL),我就会向他们披露这个漏洞,以便他们可以修复它。”

  基本上,这个漏洞允许攻击者做任何事情,包括修改矿工的支付地址。之前,一个名为“Antbleed”的漏洞能够把任何一台蚂蚁矿机远程关闭,从而给整个比特币网络带来巨大风险,毕竟比特币网络严重依赖比特大陆的挖矿硬件。

  比特大陆被要求必须公开代码

  杰姆斯·希利亚365官网 德和推特网名叫做“00whiterabbit”的匿名安全研究员提出可以披露该漏洞的信息信息,而且也愿意帮助修复这个漏洞。但他们有一个要求:比特大陆必须停止继续违反 365体育 GNU通用公共授权协议(GNU General Public License)。通用公共授权协议规定 GPL 衍生产品应该是“免费的”,就像自由(freedom)一样免费——用户应该有权访问代码以便使用、修改和创建自己的衍生产品。

  比特币核心软件包本身是开源的,也是在 MIT License 下的。MIT许可证之名源自麻省理工学院(Massachusetts Institute of Technology, MIT),又称“X条款”(X License)或“X11条款”(X11 License)。MIT内容与三条款BSD许可证(3-clause BSD license)内容颇为近似,但是赋予软件被授权人更大的权利与更少的限制。

  实际上,杰姆斯·希利亚德的要求在某种意义上并非随意为之,因为S15蚂蚁矿机使用了挖矿工具CGMiner的代码。如果比特大陆未能发布其固件的源代码, 杰姆斯·希利亚德和推特网名叫做“00whiterabbit”的匿名安全研究员就会做出反应,释放这个漏洞。

  但是,对比特币矿工开放这个漏洞并不是一件轻而易举的事情,因为攻击者必须要能够访问网络才能在蚂蚁矿机上打开 shell 执行文件。

  问题似乎非常严重

  此前的“Antbleed”漏洞已经非常严重了,但是据称这个被叫做“antsploit”的新攻击可能会给比特大陆用户造成更多破坏。事实上,任何能够想象到的“坏事”都有可能发生,比如切换你正在挖掘的矿池、更改你的支付地址等。不过,这个漏洞属于比特大陆硬件的底层级别,意味着现阶段普通攻击者还无法展开攻击。

  杰姆斯·希利亚德推测,比特大陆可能已经关闭了源码,以防止用户超频他们的硬件,此举可能会增加他们的服务成本。他说道:“比特大陆根本不在乎遵不遵守版权法,但不幸的是,关闭固件源码在比特币网络里可不是一件好事,因为像Antbleed这样的漏洞可能会隐藏其中,这是一种中心化风险。”

  (来源: 365体育碳链价值)

  (免责声明:本网站内容主要来自原创、合作媒体供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 如本文内容影响到您的合法权益(含文章中内容、图片等),请及时联系本站,我们会进行相应处理。 广告 企业供稿 投诉邮箱:citreport@qq.com)


365体育 365官网 365官网

猜你喜欢