揭秘比特币警报密钥:隐藏的安全隐患与社区热议
文章字数:约1300字阅读时间:约2分钟
上个月 21 日,Core 开发者 Bryan 在推特上表示,他正在考虑公开中本聪 7 月初委托给几位开发者的警报密钥。
截图来自:
7月初,Bryan按照承诺在-dev邮件列表上公布了这个长期存在的秘密,引发了比特币社区成员的热烈讨论。当然,这串字符没什么可讨论的。开发者更关心密钥背后的安全问题。
截图来自:-dev 的邮件列表
1.旨在保护网络,却成了安全隐患
所谓报警键,实际上是一个启动比特币协议内“报警系统”的开关;持有者可以用它向网络中的所有运行节点发送安全警报,从而起到某种重要信息提醒的作用。然而,与中本聪最初的设计意图相反,这个安全警报后来成为了网络内部的安全风险。
从发表的文章中了解到,该报警系统支持多条信息的连续推送,同时发送的信息会显示在GUI界面上,并保存到内存中的Map库中。但是,地图库的大小没有限制。一旦密钥落入恶意者手中,他就可以向节点发送大量警报消息,发起DoS攻击。
不仅如此,攻击者还可以利用此功能发送虚假或不相关的消息,在社区内造成不必要的恐慌和麻烦。事实上,这样的事情以前也发生过。 2016年,同样具有报警系统的莱特币网络发布的版本更新提醒信息由于某种原因被同时推送到其山寨币所有节点的客户端。 。虽然这起事件没有造成太大影响,但相信基于同一个报警系统能够在区块链中随意发送报警信息“听起来很危险”。
截图来自:
2、比特币已经消除了隐患,偷懒的人可能会遭殃。
早就意识到这些问题的比特币开发者在2016年4月15日发布Core版本0.12.1时关闭了闹钟提醒功能;并在后续版本0.13.0中相关。代码已完全删除。
同年3月,开发者更进一步,在Core 0.14.0版本中对终极警报进行了硬编码,并设置为不能被其他消息覆盖;从而保证所有未升级节点的操作者都能看到“警报系统已损坏”提醒。
截图来自:
然而,在一切准备就绪之后,Core随后并没有按照承诺公开报警系统的密钥。由于部分节点尚未升级到新版本客户端,仍然存在被攻击的风险;而此前出现的大量比特币“山寨币”的安全问题也令人担忧。
具体来说,这些几乎完全参考了比特币源代码的数字货币,不去掉报警系统,不改变报警密钥(公钥),也不费心发送最后的提醒消息;那么一旦密钥被释放,任何人都可以激活这些网络的警报系统并对它们发起DoS攻击。
3、拒绝承担责任,正式公布关键
面对这样的情况,核心成员之一格雷格发了一封电子邮件,承诺他们将花时间寻找其他仍在使用警报系统的加密货币,并敦促他们删除相关代码。根据首席技术官 Pavol 最近的一项调查,目前代码库中只有一种山寨币(目前市值排名第 1471 位)没有删除警报系统。
截图来自:
存在潜在风险的项目已经所剩无几,支持0.12版本的比特币客户端也接近消失,仍然卡在旧版本客户端的用户比例不足3%。为此,人们认为比特币警报系统已经“彻底退休”。现在发布密钥基本上没有问题了,这对于网络安全来说也是一件好事。
不过,除了网络安全问题外,密钥的泄露对于Core开发者来说也意味着更多的解脱;因为他们不再需要向要求调整交易费用和挖矿难度的人解释,这个关键没有修改网络规则的功能;当网络发生报警系统攻击时,无需担心被识别为主要嫌疑人。
----------------------------------------------------
如果您有符合知识、知识基调的优质原创文章,欢迎您以个人名义向华尔街名家专栏投稿。
提交方式:请将个人简介及代表作品发送至