时隔两年，比特币工程师再次发现INVDoS漏洞

原文： Decrypt ，原文作者：Mathew Di Salvo

来源：Odaily 星球日报，译者：念银思唐

摘要：

- 开发者在 2018 年发现了比特币区块链中的一个漏洞；

- 该漏洞可能导致黑客关闭整个网络；

- 今年，开发者在其他一些区块链中再次发现了这个漏洞，并发表了一篇论文。

时隔两年，两名比特币工程师再次发现了几个可以导致整个区块链网络关闭的漏洞——而两年前他们以为这个问题已经得到了解决。

比特币工程师 Braydon Fuller 和 Javed Khan 在 2018 年修复了比特币区块链上的名为 “INVDoS” 的漏洞。两人在本周发表了一篇研究论文，详细介绍了他们是如何在其他一些区块链迭代（Btcd 和 Decred）中发现该漏洞的。

攻击的工作原理是这样的：一个恶意的区块链节点（验证交易的区块链网络成员）向另一个节点发送不存在交易的请求，从而进行 spamming 攻击。

这样一来，受攻击的节点会被垃圾交易充斥，其 memory 会“无限增长”，研究人员写道，“这将使进程崩溃，并可能冻结进程和计算机，直到进程终止。”

这两位工程师在报告中说，这一被称为 “拒绝服务” 攻击的漏洞“很容易被黑客利用”，并可能被用来使整个比特币节点网络崩溃。报告称，这可能使交易处理延迟，进而导致“资金或收入损失”。

2020 年 6 月，Khan 注意到旧的攻击适用于 Btcd，Btcd 是一种替代比特币区块链节点，不允许用户发送或接收付款。一个月后，Khan 在另一个区块链网络——Decred 中发现了这个漏洞。

Khan 与其他区块链工程师一起，在 8 月底推出了漏洞修复程序。幸运的是，“外界还没有发现对这种脆弱性的利用情况，”Fuller 和 Khan 在报告中写道。

事实上，这样的网络关闭已经多年没有发生过。报告指出：“对于比特币网络而言，导致此类宕机事件的漏洞只有两个，2013 年以来已从未出现过。”

尽管如此，这个漏洞的影响还是非常大的，至少存在可能性。报告称，2018 年，超过 50%“拥有有入站流量且公开宣传的比特币节点，可能还有大多数矿工和交易所”均存在该漏洞，面临攻击风险。

报告还指出，Litecoin 和 Namecoin 区块链也曾面临风险。尽管报告补充称，该漏洞不太可能帮助黑客窃取比特币，但闪电网络（一种更快处理比特币交易的协议）的资金可能面临风险。

开发人员补充说，运行旧版比特币软件的矿工和交易所可能仍面临风险，但大多数节点运营商应该是在运行最新的软件。“你可能已经被保护了。否则，一定要升级。”报告提示称。