「比特幣核心開發團隊」發布 0.20.0 版更新：刪除核彈級漏洞 Open SLL 加密函式庫

Bitcoin Core（中譯：比特幣核心）是比特幣客戶端軟體的開發計畫，Bitcoin Core 於昨（3）日釋出了最新版本 0.20.0，其中包括刪除了 BIP 61 提案，修補 OpenSSL 的軟體庫。

Bitcoin Core 是一項開源計畫，開放給許多外部開發人員，提交代碼並更新、修正錯誤其客戶端軟體等等，而該計劃在昨天釋出了最新版本 0.20.0，這是的版本迭代總共有 119 位開發人員參與，較上一版本的 0.19.1 多了 104 位，足以顯示比特幣網路正逐漸壯大。

據 Bitcoin Core 的官方部落格指出，這次版本包括了一連串升級：「包括修復先前版本錯誤、提升性能、新功能」。0.20.0 版本引進了新的 IP 映射配置，讓比特幣網路上的節點連接更穩定高效。同時，這個版本也刪除先前的比特幣改進提案（BIP）。BIP 61 的提案會讓節點在拒絕交易時廣播「拒絕消息」。

之所以刪除 BIP 61 的原因是這樣的反饋機制會讓其它節點看出交易吞吐量問題，並阻止廣播，而 Bitcoin Core 的核心開發者馬可・佛克（Marco Falke）認為這個反饋機制「無法讓節點確認拒絕消息是值得信賴且有效的」，因此這次停用了該提案。

Bitcoin Core 其中一名開發人員麥克・福克森（Michael Folkson）向外媒《Decrypt》表示，Bitcoin Core 決定先在 0.19.0 版本停用該功能，並在此一版本（0.20.0）完全刪除。

– 佛克支持刪除 BIP 61，圖片來源：Bitcoin dev –

延伸閱讀：「比特幣核心開發團隊」宣布0.19.1版更新：bech32地址讓用戶更好分辨

延伸閱讀：Bitcoin Core 軟體更新！用戶終於能夠「將全節點連接到硬體錢包」

刪除長期漏洞 Open SSL

福克森認為，0.20.0 版本最重要的改變是「刪除了」中本聰一開始就實施的 Open SSL 軟體庫，當初 Open SSL 是確保比特幣網路的所有訊息都保留在網路中，不過隨著網路發展，Open SSL 已經變成「核彈級漏洞」。

OpenSSL 是實作 SSL 的一個 open source 軟體兼函式庫。目前許多的開源（Open sourse）網路軟體都使用 OpenSSL 來實現 SSL 功能，只要瀏覽器上的網址列是「https://  開頭」，就是在使用 SSL 加密通訊。

由於在程式的運算中，必須把金鑰、密碼、密文、明文這些東西放在變數中進行運算。也就是會放在記憶體裡。所以，就算程式執行完，得到密文了，有可能加解密的金鑰還在記憶體中，甚至明文也還在記憶體中。所以暫存的金鑰和明文就成為漏洞來源。

這個漏洞讓駭客可以趁程式還在進行加解密時，從記憶體獲取金鑰、密碼、密文。雖然不是每次都能成功，但只趁還未清除記憶體時，就有一定機率可以成功。

– Open SLL 漏洞可讓駭客一點一點獲取用戶資料，圖片來源：itw 01 –

若是成功獲得 server 私鑰，駭客就可以冒充 server；而要是直接獲得 client 的明文，那駭客就可以獲得用戶登入帳密、個資、信用卡號，有網友測試了世界最流行 ​​的 1,000 家網站，結果有 30% 至 40% 的都有 Open SLL 的問題。

「Open SSL 長期以來一直是漏洞，Bitcoin Core 常常因為這個漏洞需要緊急發布軟體更新，同時也影響到的網路性能。

從 0.12.0 版本開始，Bitcoin Core 的開發人員就已經逐步淘汰 Open SSL ，轉而使用 secp256k 作為比特幣構建和微調的軟體庫。」

福克森受訪時說道。

目前的 0.20.0 版本已經完全刪除了 Open SLL，藉此提供「更高的安全性」，以及減少攻擊的可能性。

相關報導

以太坊創辦人V神懟 Bitcoin 核心開發者： 比特幣的出發點不是「數位黃金」

台灣成立新社群平台「密碼龐克」— 從比特幣核心精神進行「在鏈上的交流」

【比特幣現金｜鏈拆分漏洞】發現人身份公開：日前BCH的重大漏洞，是由Bitcoin Core開發者找出

讓動區 Telegram 新聞頻道再次強大！！立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務