比特币核心历史上最严重的漏洞？恶意矿工可能人为地增加比特币供应量

根据比特币核心（Bitcoin Core）开发者最新披露的声明CVE-2018-17144，他们新修补的漏洞的破坏性可能比预期的要大得多。

比早先宣布的比特币漏洞更糟糕

近日，比特币核心开发者披露了多个漏洞，可能会影响比特币客户端部分操作的执行，呼吁社区各节点实施补丁修复和软件升级。

根据Bitcoin Core开源网站披露的信息，此次发现了两个漏洞，一个是拒绝服务（Denial of Service）组件漏洞，另一个是较为严重的通货膨胀（inflation）漏洞。 根据初步报道，一些 Bitcoin Core 开发者只在比特币 ABC 和比特币无限（Bitcoin Unlimited）客户端发现了拒绝服务漏洞，但他们很快判断这个问题也可能导致通货膨胀漏洞——简单来说，这个漏洞可能允许恶意矿工通过某些类型的双花交易人为地增加比特币供应。

现阶段，比特币核心社区声称最新的0.16.3和0.170rc4版本已经修复了这些问题，同时发布了漏洞发现和修补的时间表。 不仅如此，比特币核心卡法工作人员还进一步解释道：

“在比特币核心的 0.15.X、0.16.0、0.16.1 和 0.16.2 版本中比特币需要解决的两个核心问题，任何人都试图在一个区块内的单个交易中对交易输出进行双花比特币需要解决的两个核心问题，并且该支出的输出是在统一的看来，同样会出现断言失败，这个问题在0.16.3补丁包的测试用例中已经存在，所以0.16.3补丁升级应该可以解决这个问题，但是如果在之前的区块中创建双花输出，那么CCoin map中仍然会保留一个'entry'，并且已经设置了DIRTY标志，或者已经被标记为'spent（花费）'，所以没有这样的断言，比特币的价值被花费了两次，这在反过来允许矿工制造通货膨胀，也就是膨胀比特币的供应。”

（编者按：在写代码的时候，我们总是会做出假设，而断言就是用来在代码中捕获这些假设的。断言表示为布尔表达式，程序员认为在程序的某个时刻，表达式如果为真，则断言可以随时启用和禁用验证，因此可以为测试启用断言，为部署禁用断言。此外，在程序上线后，如果最终用户遇到问题，可以重新启用断言。）

一开始，比特币核心开发人员发现的是一个“不是很大”但仍然很严重的 Dos bug，它会导致矿工节点 punk 并破坏比特币网络。 然而，这样做会导致他们放弃自己的区块奖励——目前是 12.5 BTC（约 83,500 美元）。

此外，根据 Bitcoin Core 发布的一份声明，该漏洞实际上自 0.14 版以来就存在于 Bitcoin Core 软件中——尽管直到最近才被发现。 在 Bitcoin Core 0.15 版本中，引入了一个漏洞，允许恶意矿工通过某些类型的双花交易人为地增加比特币供应量。

比特币核心社区呼吁加快补丁升级

比特币核心开发者表示，虽然该漏洞的严重程度尚未达到不可控的地步，但仍强烈建议社区升级软件，通过延迟发布所有问题，为系统升级提供了足够的时间。 矿工、企业和其他受影响的系统将需要尽快部署补丁。

此外，超过一半的比特币哈希率现在已经通过节点升级进行了修补，但不知道是否有人会尝试利用此漏洞。 但是，受影响的用户可以使用最新的补丁进行升级，这样可以确保不会发生大规模重组、挖掘无效块或接受无效的事情。

另一方面，比特币社区成员和 Bitcoin.org 网站的共同所有者 Theymos 认为需要升级到 Bitcoin Core 0.16.3。 他透露，可能被撤销的确认交易只有不到200笔，如果不认真对待，未来可能会出现分拆。

值得一提的是，比特币核心节点的升级似乎仍未能在社区内达成共识。

另一位比特币核心开发者 Luke-jr 声称现在更新补丁还为时过早。 他发推文说：

“在我看来，升级发布补丁还为时过早，目前只升级了2%的网络。”

Luke-jr甚至表示，矿业巨头比特大陆可能会利用这个漏洞制造通货膨胀并摧毁比特币网络，而不是等待这个漏洞被修复并维护网络安全和价格稳定。

比特币核心漏洞的处理引发争议

Cobra 是 Bitcoin.org 的另一位共同所有者和比特币现金 (BCH) 的拥护者，他认为该漏洞的潜在影响是可怕的，Bitcoin Core 社区处理它的方式并不令人满意。 他发推文说：

“Bitcoin Core 对这个漏洞的处理非常糟糕，首先他们谎称这是一个 DoS 问题，现在是真的，确认这个漏洞将允许恶意矿工通过某些类型的双花交易人为地增加比特币供应，并且这个风险警告来自比特币现金社区！”

作为比特币核心开发者Luke-jr，漏洞问题现在已经浮出水面，比特币网络似乎并没有人们想象的那么安全，还有很长的路要走。