找回密码
 立即注册

QQ登录

只需一步,快速开始

  • QQ空间
  • 回复
  • 收藏

比特大陆蚂蚁矿机固件现漏洞:改BUG与开源选择两难

360截图-473702671.jpg
比特大陆大面积裁员和2018年Q3巨额亏损的负面传闻还未平息之时,其旗舰产品蚂蚁矿机S15又被曝出存在固件漏洞。

矿机固件现漏洞

蚂蚁矿机S15的这个漏洞由比特币核心开发者James Hilliard首先发现。随后,安全研究人员@00whiterabbit根据James Hilliard发现的漏洞编写并测试了一段攻击代码。

2月11日,James Hilliard在其个人的推特账户发布了一段视频证实蚂蚁矿机S15的漏洞并不是空穴来风。

James Hilliard在推特中曝出的S15矿机固件漏洞。

据称,James Hilliard发现的这一漏洞让用户可以获得蚂蚁矿机S15固件根目录的访问权限,并且只要知道了矿机的IP地址就可以远程访问固件的根目录,这意味着通过修改程序就可以让矿机做任何事,包括修改被攻击矿机的比特币支付地址或者直接让矿机停止挖矿。

James Hilliard在接受Bitcoin Magazine采访时评论称比特大陆开发的矿机固件漏洞太多,固件在安全性方面的设计不佳,他相信固件中还存在其他漏洞。

其实,这已经不是人们首次在比特大陆的矿机固件中发现安全漏洞了,2017年就有匿名的安全研究人员发现了比特大陆开发的矿机固件中一项被称作“Antbleed”的漏洞。

这一漏洞可以通过远程操控让几乎所有的蚂蚁矿机停止工作,使得比特币网络中近一半的算力面临下线的风险。因此比特大陆矿机固件的漏洞不仅是蚂蚁矿机用户面临的问题,还在整个比特币网络形成了安全风险。

James Hilliard认为想要保证比特币网络的健康发展就需要让用户能够主动修复发现的漏洞。Hilliard表示他愿意向比特大陆公布发现的漏洞,让这家全球最大的比特币矿机厂商修复固件漏洞,但前提是要求比特大陆停止违反GNU通用公共许可协议。

GNU通用公共许可协议

GNU通用公共许可协议(GNU GPL)让用户可以自由运行、学习、共享和修改软件。该许可证的最初版本由自由软件基金会GNU项目的理查德·斯托曼撰写。许可协议赋予了程序使用者以下自由:

1.不论基于何种目的,用户有按自己的意愿运行软件的自由;
2.用户拥有学习软件如何工作的自由,可以按照用户的意愿修改软件以匹配其使用目的(代码开源为前提);
3.用户有分发软件副本的自由;
4.用户有将修改的软件版本再分发给其他人的自由(代码开源为前提)。

给了用户极大自由度的通用公共许可协议(GPL)对程序或软件的使用者也提出了一个条件,即经用户修改过的程序在分发和共享的时候也应当遵循GPL协议赋予其他用户以自由,包括开放源代码。

比特大陆的蚂蚁矿机S15固件是基于Linux操作系统开发并借鉴了CGMiner挖矿工具的代码,Linux及CGMiner均取得了GNU GPL许可协议授权且完全开源,因此就有开发者认为比特大陆开发的矿机固件也应该遵循GPL的要求做到开源。

但“比特大陆似乎并不关心是否遵循版权法。不幸的是,在比特币        网络上使用闭源固件并不是一件好事,因为像Antbleed这样的漏洞可能隐藏其中,这就是中心化的风险”,James Hilliard在接受Bitcoin Magazine采访的时候如是说。

目前,比特大陆暂未就此矿机固件漏洞事件发表评论,其矿机固件仍然没有开源。

作者、排版:雨林
编审:孙爽
来源:零壹财经·Binary


回复

使用道具 举报

说点什么

您需要登录后才可以回帖 登录 | 立即注册