匿名人士指控螞蟻礦機留有“Antbleed”後門,稱70%的比特幣算力非常脆弱
據外媒bitcoinmagazine報導稱,有匿名人士指控比特幣挖礦硬體商Bitmain(比特大陸)所生產的螞蟻礦機留有“Antbleed”後門,這一漏洞如果遭到濫用,可能會對比特幣網路安全造成威脅。
“即使比特大陸並沒有壞意圖,
“Antbleed”漏洞的解釋
這名匿名人士表示,Antbleed後門是極其簡單的。
他解釋說,當一台螞蟻礦機線上運行時,每1-11分鐘,它就會聯繫auth.minerlink.com這個功能變數名稱一次“7000埠服務”(持有者為比特大陸)。
但是,這個功能變數名稱可能會在不久的將來連接到對應的IP位址。如果這種情況發生了,它會把這台螞蟻礦機的序號、MAC地址以及IP地址彙報給比特大陸。
然後比特大陸就可以通過這台機器連接到特定的用戶。
“比特大陸可以利用這個資料交叉核對客戶的銷售和交付記錄,使其個人身份可被辨認,
一旦連接起來,比特大陸的伺服器會連接這台螞蟻礦機,並發送一個消息回來。如果該消息是“true”,那麼這台機器會繼續挖礦,但如果消息是“false”,代碼會產生一個文本,內容是:“停止挖礦”。
匿名人士稱,這段文字會讓礦機停止挖礦,其稱已在一台螞蟻礦機上進行了測試。
對此,Bitcoin Core開發者Peter Todd很快就在 Twitter和Reddit上發表了評論:
“這個後門‘沒有’認證,任何中間人攻擊者或DNS攻擊者都可以啟動它,70%的算力是脆弱的。”
比特大陸的回應
對於這一後門的指控,
“機器上運行的代碼是開源的(github代碼),每個人都可以查看它,所以它沒有藏有秘密功能。這些代碼指出的功能允許螞蟻礦機持有者遠端控制他們的礦機,這並不是一個秘密,同時,比特大陸無法遠端控制非自有的螞蟻礦機。”
你怎麼看?