比特幣雖然是密碼貨幣世界的安全標桿，但這并不意味著它本身不存在著漏洞。

近期，開發人員發現 Bitcoin Core軟件中存在著一個異常嚴重的漏洞，這促使開發者在本周三發布了一個漏洞修補方案 ——0.16.3版本Bitcoin Core客戶端。

據悉，這一漏洞屬于拒絕服務式漏洞，如果被人利用，攻擊者可用于攻擊節點，在最壞的情況下，它可暫時造成比特幣網絡崩潰。

然而，并不是所有人都擁有利用這一漏洞的能力，只有那些運行挖礦硬件并處理比特幣網絡交易的礦工，才能夠通過雙花交易的方式來利用這一漏洞。

而對他們而言，執行這樣的攻擊，就意味著他們會失去區塊獎勵，根據今天的比特幣匯率計算，這些獎勵（12.5BTC）價值超過了75000美元。

據悉，該漏洞的首次引入，追溯到Bitcoin Core 0.14.0版本客戶端的發布，時間點是在2017年3月份。但這一漏洞在近兩天才被發現，這促使Core代碼庫的貢獻者采取緊急行動，并在24小時內最終發布經過測試的修復程序。

幸運的是，現在大多數比特幣用戶不需要做任何事。

開發人員強調稱，用戶“存儲”的比特幣并沒有什么風險，然而，這一漏洞可能會影響那些使用閃電網絡的人。

盡管如此，由于該漏洞對比特幣網絡具有潛在的風險，開發人員強烈建議當前運行全節點的用戶盡快升級他們的軟件，紅迪比特幣子論壇管理員Theymos也置頂了一則關于該漏洞的通知。

Bitcoin Core開發者在軟件補丁注釋部分中描述道：

“我們敦促網絡的所有參與者盡快升級新軟件。”

會影響閃電網絡

著名的計算機科學家萊斯利·蘭伯特曾說：

“對于分布式系統而言，其中一臺你甚至不知道存在的計算機出現了故障，都可能致使你計算機無法使用。”

而在當前這種特殊的情況下，制造有缺陷交易的礦工，可能會影響網絡上運行的節點。正如比特幣OpTech newsletter所指出的那樣，礦工想要攻擊比特幣節點，就需要去嘗試雙花一些比特幣。

而這一漏洞影響最大的，將是使用那些尚未準備好的比特幣捆綁技術（閃電網絡）的用戶。如果有人實施這樣的攻擊，可能會影響到在主網上運行閃電網絡的比特幣用戶。

“如果你魯莽地在運行閃電網絡，你應該盡快更新客戶端，或者關閉你的通道，幸運的是，更新是很容易的，” Blockstream工程師Gregory Sanders在紅迪論壇上敦促說。

這里需要關注的是，如果有惡意礦工利用了這個漏洞，造成一名用戶的節點崩潰，那么惡意參與者可能會利用這個機會欺騙其他閃電網絡用戶。

即便如此，一些開發者認為，要做到這些攻擊，其實是很難的。

“我認為它不太可能產生很大的影響，”開發者Justin Camarena告訴CoinDesk。

這就是為什么有些人認為，普通用戶不需要擔心這一問題。

“除非你經營了一個業務，或者運行了閃電網絡節點，否則你并不會有資金風險，” Sanders后來補充說。

難以判斷其影響

然而，在比特幣的歷史背景下，這一漏洞究竟具有多大的意義，目前還難以弄清。

Blockchain.info數據工程師Antoine Le Calvez列出了一份歷年來類似漏洞的清單，表明這些漏洞在比特幣的早期階段更為常見。

但Bitcoin Core的貢獻者Luke Dashjr對此的回應卻是，他認為漏洞可能不會向數據顯示的那樣隨時間推移而減少。

“可悲的是，我認為近年來我們缺乏的是漏洞披露工作，而不是更少的開發工作，”他說。

與此同時，其他人也從這一漏洞中得出了其他結論，即“比特幣程序員也是凡人，他們也會犯錯”。

OpenBazaar的首席開發者Chris Pacia甚至認為，雖然很多用戶認為比特幣開發者是世界上最棒的開發者群體，但這也恰恰證明了，他們實際上也是會遇到障礙的普通開發者。

“錯誤發生了，生活中總會有這樣的事，”Chris Pacia在推特上表示，“我不是因為這個漏洞而批判他們，我批評的是那些堅持Core開發者就是‘上帝’的傻瓜極簡主義者。”

盡管如此，Camarena認為，由于這一漏洞的細微差別以及攻擊執行難度，所以人們不太會去嘗試這樣的攻擊。

他告訴記者：

“這是一個嚴重的漏洞，但并不像某些人認為的那般糟糕。”

附：更新方法

如果你運行的是舊版本客戶端，請關閉它，直至其完全關閉（舊版本可能需要幾分鐘的時間），然后再運行安裝程序（在Windows上）或拷貝覆蓋至/Applications/Bitcoin-Qt（Mac系統）或bitcoind/bitcoin-qt（Linux系統）。

當你第一次運行0.15.0或更新版本的客戶端時，你的鏈態數據庫將轉換成一種新的格式，這取決于你機器的速度，所花費的時間從幾分鐘到半小時不等。

注意，區塊數據庫格式在0.8.0版本中也發生了變化，并且在0.8版本之前的客戶端到 0.15.0版本的客戶端并沒有自動升級代碼。在0.7.x版本或更早版本的客戶端，無法實現直接升級（需要重新下載區塊鏈）。不過，和往常一樣的是，舊版本的錢包仍然是支持的。

https://bitcoincore.org/bin/bitcoin-core-0.16.3/