比特币核心有史上最严重漏洞？恶意矿工可能会人为地夸大比特币供应

根据比特币核心开发人员披露的最新声明 CVE-2018-17144，他们最新修补的漏洞可能比预期的更具破坏性。

比早先宣布的比特币漏洞更严重

近日，Bitcoin Core 开发者披露了多个可能影响比特币客户端部分操作执行的漏洞，并呼吁社区所有节点实施修复和软件升级。

根据Bitcoin Core开源网站披露的信息，此次发现了两个漏洞，一个是拒绝服务组件漏洞，另一个是更严重的通胀漏洞。根据最初的报道，一些 Bitcoin Core 开发者只在 Bitcoin ABC 和 Bitcoin Unlimited 客户端上发现了拒绝服务漏洞，但他们很快发现这个问题可能同时导致了通货膨胀漏洞——简单地说，这个漏洞可能允许恶意矿工通过某些类型的双花交易人为地增加比特币供应。

在这个阶段，Bitcoin Core 社区声称最新的 0.16.3 和 0.170rc4 版本已经修复了这些问题，并且还发布了发现和修补的错误时间表。不仅如此，比特币核心卡法工作人员还进一步解释道：

“在比特币核心 0.15.X、0.16.0、0.16.1 和 0.@ >16.2 在三个版本中，如果有人试图在一个区块内的单笔交易中双重花费交易输出，并且花费的输出是在统一视图中创建的，那么同样会发生断言失败，这个问题在0.16.3补丁包的测试用例中已经存在，所以0.16.3补丁升级应该可以解决这个问题。但是，如果在前一个区块中创建了双花输出，那么“条目”仍将保留在 CCoin 映射中，且 DIRTY 标志已设置，或标记为“已花费”（已花费）”，因此不存在此类断言，比特币价值被花费两次，这反过来又导致矿工制造通货膨胀，

（编者按：在编写代码时，我们总是会做出一些假设，而断言用于捕捉代码中的那些假设。断言表示为程序员在程序中某个点相信的某个布尔表达式。值为 true允许随时启用和禁用断言验证，因此可以在测试时启用断言并在部署时禁用断言。同样，一旦程序上线，最终用户可以在遇到问题时重新启用断言。）

最初，Bitcoin Core 开发人员发现的是一个“不是很大”但仍然很严重的 Dos 错误，它会破坏矿工节点并破坏比特币网络。但是，这样做会导致他们丧失出块奖励——在这个阶段，10.7@>5 BTC（约 83,500 美元）。

同样根据比特币核心发布的一份声明，这个漏洞自 0. 版本 14 起就存在于比特币核心软件中——尽管它是最近才被发现的。在 Bitcoin Core 0.15 中，有一个错误允许恶意矿工通过某些类型的双花交易人为地增加比特币供应量。

比特币核心社区呼吁尽快进行补丁升级

Bitcoin Core 开发者表示，虽然漏洞的严重程度还没有达到不可控的程度，但仍然强烈建议社区升级软件，并通过推迟所有问题的发布，给系统升级足够的时间比特币矿工机械维修，矿工、企业等受影响的系统需要尽快打补丁。

此外，目前超过一半的比特币算力已经完成补丁节点升级，但尚不清楚是否有人会尝试利用此漏洞。但是，受影响的用户可以升级到最新的补丁，这样可以确保不会出现大规模重组、挖掘无效块或接受无效东西的情况。

另一方面，比特币社区的成员和 Bitcoin.org 网站的所有者之一 Themos 认为升级到 Bitcoin Core 0.16.3 是必要的。他透露，少于200个确认的交易有被撤销的可能，如果不认真对待，未来可能会出现分裂。

值得一提的是，目前比特币核心节点升级似乎仍未能在社区内达成共识。

另一位比特币核心开发者 Luke-jr 声称现在更新补丁还为时过早。他在推特上写道：

“在我看来，升级发布补丁还为时过早，目前只有2%的网络在升级。”

Luke-jr 甚至表示，矿工巨头比特大陆可能会利用这个漏洞制造通货膨胀并破坏比特币网络，而不是等待漏洞修复并维护网络安全和价格稳定。

关于如何处理比特币核心漏洞的争议

Bitcoin.org 的另一位共同所有人、比特币现金（BCH）的倡导者 Cobra 认为，该漏洞的潜在影响是可怕的比特币矿工机械维修，比特币核心社区处理该漏洞的方式并不令人满意。他在推特上写道：

“Bitcoin Core 处理这个漏洞非常糟糕，他们首先谎称这个漏洞只是一个 Dos 问题，现在很明显这个漏洞会允许恶意矿工通过某些类型的双花交易人为地增加比特币供应量，并且这个风险警告来自比特币现金社区！”

作为Bitcoin Core开发者Luke-jr，现在漏洞问题已经浮出水面，比特币网络似乎并没有想象中的那么安全，还有很长的路要走。