聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
NVD 对CVE-2023-50428的说明是,“在 Bitcoin Core 26.0 版本及 Bitcoin Knots 25.1.knots20231115 版本中,可通过将数据混淆为代码的方式(如通过 OP_FALSE OP_IF),绕过 datacarrier 的大小限制。该漏洞已被铭文在2022年和2023年利用。”
Bitcoin Core 客户端的开发人员 Luke Dashjr 近期在社交媒体的发言被NVD引用为外部来源。他发布帖子表示,“‘铭文’正在利用 Bitcoin Core 中的一个漏洞对区块链发动垃圾攻击。自2013年起,Bitcoin Core 就允许用户对他们所中继或挖掘的交易中的额外数据进行大小限制(`-datacarriersize`)。通过将数据混淆为程序代码,铭文绕过了这个限制。该漏洞在 Bitcoin Knots v25.1 中修复,所花费时间要比平时多一些,因为去年年末我的工作流被严重扰乱(v24完全被跳过)。Bitcoin Core 在即将发布的 v26版本中仍然易受攻击。我只能希望会在明年发布的v27版本中得到修复。”
铭文涉及将其它数据嵌入到特定的“聪”(比特币的最小单位satoshi)中。该数据可以任何数字化格式呈现如图像、文本或其它媒体格式。每当数据被添加到“聪”时,它就变成了比特币区块链的永久性组成部分。
尽管数据嵌入成为比特币协议的特性已有一段时间,但它在2022年年末随着 Ordinal 协议的出现才开始流行。该协议允许将唯一的数字化艺术直接嵌入到比特币交易中,就像以太网上的NFTs 功能一样。
如果这个所谓的“漏洞”得到修正,那么可能会对网络上的铭文产生限制。当问到如漏洞被修复后,Ordianls 和 BRC-20 令牌是否会不复存在时,Luke Dashjr 给出了肯定的回复,“理解正确”。然而,鉴于网络的不可变性质,已有的铭文将继续存在但将会变成不可交易状态。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~