莱特币零日漏洞遭利用引发拒绝服务攻击, major mining pools 受影响
- 浏览次数 16
- 喜欢 0
HackerNews 编译,转载请注明出处:
莱特币网络中一个严重的零日漏洞被恶意利用,发动了一场拒绝服务(DoS)攻击。在开发者发布完整补丁之前,该攻击致使多个主要矿池的运营暂时中断。
安全研究人员证实,该漏洞使得威胁行为者能够向未打补丁的节点注入无效的 MWEB(MimbleWimble 扩展区块)交易,引发一系列网络混乱,影响了矿池的稳定性,并一度破坏了链上交易的完整性。
这个零日漏洞专门针对未应用莱特币最新软件更新的挖矿节点。攻击者精心构造了一个格式错误的 MWEB 交易,而这些未更新的节点将其误判为有效交易,暴露出输入验证逻辑的重大缺陷。
一旦处理该无效交易,就会使得代币在未经适当授权的情况下被锁定到第三方去中心化交易所(DEXs),从而绕过了标准的交易控制机制。
MWEB 是莱特币引入的隐私扩展层,旨在实现机密交易,此次却成为了攻击目标。
由于并非所有矿池运营商都升级到了最新的节点版本,这一漏洞窗口持续了足够长的时间,让攻击者得以大规模利用。
作为对此次攻击的应对,莱特币开发团队和网络相关方启动了 13 个区块的重组(回滚),这是一种有意为之的回滚机制,将链的状态恢复到无效交易被纳入之前。这有效地从主链中删除了非法的 MWEB 交易。
至关重要的是,据莱特币开发团队在事后声明中称,在此期间处理的所有合法交易仍然有效且未受影响。用户和交易所预计不会因该事件遭受任何资金损失。
在区块链事件应对中,13 个区块的重组被视为重大但并非前所未有的举措,通常仅在链的完整性直接受到威胁时才会采用。
补丁发布,网络稳定
此后,该漏洞已被完全修复,莱特币开发团队敦促所有节点运营商和矿池管理员立即升级到最新软件版本。目前网络运行正常,没有持续中断的报告。
这一事件凸显了工作量证明加密货币网络中普遍存在的一个难题 —— 补丁采用滞后。
当节点运营商延迟软件更新时,即便上游已修复漏洞,他们仍会制造可被利用的漏洞,对整个网络构成威胁。
- 立即将所有莱特币节点更新到最新的补丁版本。
- 监控 MWEB 交易活动,警惕异常的锁定行为。
- 针对链重组事件建立自动警报机制。
- 在所有矿池基础设施中实施严格的软件更新策略。
截至本文发布时,莱特币基金会尚未公开披露该漏洞的 CVE 编号。
消息来源:cybersecuritynews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文