Bitcoin Core 客户端出现漏洞 CVE-2023-50428
2023-12-12 17:23:12 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

美国国家漏洞库 (NVD) 提到,最近引发大量关注的比特币铭文被报送为漏洞,编号为CVE-2023-50428,且现在正处于分析状态。被纳入 NVD 列表说明漏洞已被发现、分类并值得公众注意。

NVD 对CVE-2023-50428的说明是,“在 Bitcoin Core 26.0 版本及 Bitcoin Knots 25.1.knots20231115 版本中,可通过将数据混淆为代码的方式(如通过 OP_FALSE OP_IF),绕过 datacarrier 的大小限制。该漏洞已被铭文在2022年和2023年利用。”

Bitcoin Core 客户端的开发人员 Luke Dashjr 近期在社交媒体的发言被NVD引用为外部来源。他发布帖子表示,“‘铭文’正在利用 Bitcoin Core 中的一个漏洞对区块链发动垃圾攻击。自2013年起,Bitcoin Core 就允许用户对他们所中继或挖掘的交易中的额外数据进行大小限制(`-datacarriersize`)。通过将数据混淆为程序代码,铭文绕过了这个限制。该漏洞在 Bitcoin Knots v25.1 中修复,所花费时间要比平时多一些,因为去年年末我的工作流被严重扰乱(v24完全被跳过)。Bitcoin Core 在即将发布的 v26版本中仍然易受攻击。我只能希望会在明年发布的v27版本中得到修复。”

漏洞与 Ordinal 协议的相关性

铭文涉及将其它数据嵌入到特定的“聪”(比特币的最小单位satoshi)中。该数据可以任何数字化格式呈现如图像、文本或其它媒体格式。每当数据被添加到“聪”时,它就变成了比特币区块链的永久性组成部分。

尽管数据嵌入成为比特币协议的特性已有一段时间,但它在2022年年末随着 Ordinal 协议的出现才开始流行。该协议允许将唯一的数字化艺术直接嵌入到比特币交易中,就像以太网上的NFTs 功能一样。

如果这个所谓的“漏洞”得到修正,那么可能会对网络上的铭文产生限制。当问到如漏洞被修复后,Ordianls 和 BRC-20 令牌是否会不复存在时,Luke Dashjr 给出了肯定的回复,“理解正确”。然而,鉴于网络的不可变性质,已有的铭文将继续存在但将会变成不可交易状态。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Bitcoin Core 软件修复严重的 DDoS 漏洞

黑客利用0day,从General Bytes比特币ATM盗走150万美元

为避免攻击,研究员把严重的比特币漏洞详情焐了两年

币安被黑客盗走逾7000个比特币,价值超4100万美元

黑客“双花攻击”热门比特币交易所 数天牟利1800万美元

原文链接
https://securityonline.info/cve-2023-50428-bitcoin-core-client-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518338&idx=3&sn=f65c78fb4b08158ecb16fe9bf29bdced&chksm=ea94b9e8dde330fee9837926f772f990574078cc704aa52b93307778f4868abada3375fae3c6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh