漏洞关键信息 漏洞概述 主题: [bitcoin-dev] Alert key disclosure 日期: 2018年7月2日 作者: Bryan Bishop 主要漏洞 可能导致的服务攻击 Denial of Service (DoS) 攻击: - 由于使用了无限大小的映射,攻击者可以利用 Alert key 执行 DoS 攻击,导致节点崩溃或由于内存耗尽而被杀死。 影响的系统与建议措施 受影响的系统: - 包含旧的 Bitcoin 警告系统的节点(运行 v0.12.x 或更旧版本) - 某些替代币和软件由于仍在使用旧的 Alert System 因此可能会受到影响。 建议措施: - 升级到最新版本以避免使用已停用的警告系统 - 在比特币发布最终警告(包含最大ID号码),要求所有易受攻击的节点升级。 防止二次传播和滥用 私钥已公开: - Bitcoin Core 开发人员经研究后选择公布 Alert key 以进行以下目的: - 降低 Alert key 被未知第三方滥用的风险。 - 防止该 Key 导致潜在的 DoS 攻击问题。 公开多种Key信息:包含 mainnet 与 testnet 的公共与私钥都被公开。 额外链接信息 [0] 原邮件线索地址:https://lists.linuxfoundation.org/pipermail/bitcoin-dev/2016-September/013104.html [2] 关于Alert System停用的信息链接:https://bitcoin.org/en/alert/2016-11-01-alert-retirement