螞蟻礦機被指存在巨大漏洞,70%比特幣算力可被 Bitmain 遠程控制
近日,一則關於比特幣挖礦硬體廠商Bitmain(比特大陸)的消息引起了業內人士的關注,有匿名人士指控 Bitmain 所生產的螞蟻礦機留有一個被稱為「Antbleed」的木馬程序(backdoor),Bitmain 方面能夠通過它遠程關閉大部分活躍的螞蟻礦機,瞬間破壞掉比特網網路大量的算力。
該匿名人士指出:「即使 Bitmain 本身並沒有惡意,但這仍然是一個巨大的安全漏洞。」與此同時,他還專門架設了一個Antbleed 網站以公示該漏洞。
據了解,Antbleed 於 2016 年 7 月正式推出,也就是在第一台 S9 礦機發貨後的一個月,理論上所有在這之後發出或更新的礦機都會帶有 Antbleed 程序,這也意味著包括 S9、T9 R4 以及 Litecoin 的 L3 這些礦機都有可能遭受攻擊,存在被 Bitmain 遠程操控的風險。
但是,這一域名隨時有可能會連接到相應的 IP 地址,屆時它就會把該礦機的序列號、MAC 地址以及 IP 地址彙報給 Bitmain,而後者就能夠通過這台機器連接到對應的用戶。資料顯示:「Bitmain 可以利用這個數據對客戶的銷售和支付記錄進行交叉核對,從而辨認其個人身份,因為比特幣礦業規模不算太大,所以連接礦機與對應的礦池或區塊並不難。」
一旦完成連接,Bitmain 的伺服器就能向該礦機發送一個消息,如果內容是「true」,就代表著可以繼續挖礦,如果是「false」,代碼就會產生一個文本:「停止挖礦!」匿名者稱,他已經在一台螞蟻礦機上進行了測試,該文本確實會讓礦機停止挖礦,同時他還透露,任何人都可以用自己的礦機進行測試,具體的操作方法已經披露在了 Antbleed 網站上。
目前我們很難統計出比特幣網路上有多少算力會受到該漏洞的影響,匿名者認為:「由於 Bitmain 是挖礦硬體行業的領導者,所以預計會有 70%的機器存在被遠程關閉的危險。除此之外,Bitmain 還可以通過該漏洞針對特定的礦機或用戶。」
對此,比特幣核心開發商 Bit Todd 在 Twitter 和 Reddit 上發表了評論:「Bitmain 可能低估了源代碼被認真審查的可能性,這也是一個常見的現象——代碼永遠不會被完整閱讀。而要想添加一個木馬,為了防止其被找到,將其隱藏在數以千計的沒有認證的代碼行中是一個有效的方法。」
Bitmain 方面對 Antbleed 事件做出的回應是:「礦機上運行的代碼是開源的,每個人都可以去檢查,並沒有任何的隱秘性。同時表示被指出的 Antbleed 代碼只是一項功能,旨在讓 Antbleed 擁有者能夠遠程控制他們的礦機,防止礦機被盜或被劫持的情況,並在該情況下為執法機構提供更多的信息。而需要強調的是,Bitmain 方面無法遠程控制非自有的螞蟻礦機。」
但是 Antbleed 網站卻表示,相關的域名和埠在源文件中是硬編碼,用戶無法以任何現實的方式利用它,因此它並不是一個用戶功能。同時網站中也提到了關於 Antbleed 程序的修復方式,只需要將「127.0.0.1 auth.minerlink.com」內容添加到設備上的/ etc / hosts 中,就能夠在不中斷正常挖礦行為的前提下避開 Bitmain 的檢測。
粹客網是國內首個關注前沿科技領域的科技新媒體和創業服務平台。我們提供最貼近商業化的前沿科技創業報道、最新最全的科技動態資訊以及深刻獨到的行業觀點。堅持挖掘有價值的創新創業項目,致力於成為創新創業者的前沿陣地。
每月精彩評論將有機會獲得神秘禮品,線下活動 or 商業合作請私信微信公眾號(cheekrnews)或發郵件到粹客網官方郵箱。
※NPO 組織推出瀏覽器插件 Unpaywall,讓你免費下載學術論文
※波士頓大學研究團隊用人體細胞製造出了一台「生物計算機」
TAG:粹客網 |
※Biomarker研究存在巨大gap,基因檢測技術未來必將普及
※newsbtc分析師:BTC存在看漲壓力
※蘋果「超級銷售周期」不復存在 iPhone8/X市場認可不敵iPhone7
※經典款iPhone將不復存在,廉價版iPhone X或5000元起步
※Twitter驚現漏洞:超過3.3億用戶賬號密碼存在潛在風險!
※iPhone 7 存在設計缺陷,大量機型被召回
※經典款iPhone將不復存在 廉價版iPhone X或5000元起步
※Magic Leap One 或存在嚴重設計缺陷
※黑客可利用 iTunes 監管你的 iPhone;LG設備存在嚴重漏洞;印尼曝Facebook用戶信息被盜
※Linux Libc Realpath 存在緩衝區下溢漏洞
※iPhone X Plus真存在?6.1寸版廉價iPhone 或用最強LCD屏
※iPhoneSE2存在的可能性有多大?
※Windows的共享功能也存在漏洞,密碼在5分鐘可被黑客破解
※13寸MacBook Pro存在電池隱患
※iPhonex,無敵的存在
※已經有2年了,華為手機在Android Auto上仍然存在問題
※Gray Heron與遭受黑客攻擊後名譽受損的Hacking Team存在聯繫?
※如何檢查你的Iphone、Android及Windows設備存在Spectre Bug
※利用Python打破所有vip電影前六分鐘的限制!不存在充錢!更新版
※英特爾:Spectre和Meltdown漏洞的修補程序存在問題