本站訊 比特幣開(kāi)發(fā)者近日再次披露了一項(xiàng)嚴(yán)重軟件漏洞的細(xì)節(jié)。據(jù)高級(jí) Core 開(kāi)發(fā)人員稱，全球超過(guò) 13%執(zhí)行比特幣規(guī)則的家用和商用計(jì)算機(jī)容易受到遠(yuǎn)程關(guān)機(jī)（Remote Shutdown）的影響。 該漏洞名為 CVE-2024-35202，影響運(yùn)行 Core 軟件 25.0 之前版本的比特幣節(jié)點(diǎn)。沒(méi)有更新到至少 25.0 的節(jié)點(diǎn)會(huì)允許攻擊者遠(yuǎn)程利用處理區(qū)塊交易（' blocktxn '）消息的軟件邏輯中的斷言（assertion）。值得一提的是，該漏洞對(duì)普通攻擊者來(lái)說(shuō)幾乎沒(méi)有經(jīng)濟(jì)利益。 具體來(lái)說(shuō)，該漏洞源于 Core 的致密區(qū)塊（compact block）協(xié)議，該協(xié)議使用縮短的交易標(biāo)識(shí)符來(lái)減少互聯(lián)網(wǎng)帶寬的使用。攻擊者可以在這些標(biāo)識(shí)符中觸發(fā)沖突，導(dǎo)致節(jié)點(diǎn)請(qǐng)求一個(gè)完整的區(qū)塊。 盡管請(qǐng)求完整的、未刪節(jié)的區(qū)塊是一種安全預(yù)防措施，但 25.0 之前的軟件版本在處理后續(xù) blocktxn 消息的邏輯上存在缺陷。簡(jiǎn)而言之，可以通過(guò)操縱邏輯門(mén)迫使節(jié)點(diǎn)進(jìn)入無(wú)效狀態(tài)，從而導(dǎo)致節(jié)點(diǎn)完全崩潰。 Niklas G?gge 發(fā)現(xiàn)并披露了該漏洞，他還提供了 Bitcoin Core v25.0 中部署的補(bǔ)丁。他在 Bitcoin Core 的 pull request 編號(hào) 26898 中修復(fù)了這個(gè)漏洞，其他開(kāi)發(fā)人員在 2023 年 5 月 26 日之前將其合并到生產(chǎn)中。 BitNodes.io 信息顯示，在運(yùn)行比特幣網(wǎng)絡(luò)的 18,843 個(gè)節(jié)點(diǎn)中，有 13.7%容易受到攻擊。開(kāi)發(fā)人員敦促所有節(jié)點(diǎn)運(yùn)營(yíng)商更新其軟件以修復(fù)此漏洞。Bitcoin Core 軟件的最新版本為 28.0。（Protos）