蚂蚁矿机S15惊现漏洞 再度引发“开源”之争

BTC开发者James Hilliard在比特大陆的蚂蚁矿机S15固件中发现了一个漏洞。
一位匿名安全研究人员对该漏洞进行了实际测试。Hilliard在Twitter上对此进行了视频演示。这个漏洞几乎能让攻击者做到任何事情,包括修改被攻击矿工的支付地址。此前,曾出现一个名为“Antbleed”的漏洞,允许远程关闭任何蚂蚁矿机,给严重依赖比特大陆硬件的BTC网络带来了巨大风险。
Hilliard和匿名用户00whiterabbit已提出披露漏洞的详细细节并帮助修补,但是存在一个前提:比特大陆必须停止违反GNU通用公共许可协议的行为。
通用公共许可协议(GPL)规定,基于其框架下的代码衍生品应该是“免费的”。免费是自由的一部分——用户应该能够访问代码,以便使用、修改和创建自己的衍生产品。
在 MIT 的许可下,BTC核心软件包本身是开源的。
Hilliard绝不是随意地要求。CGMiner的代码是蚂蚁矿机S15固件的一部分。
如果比特大陆拒绝发布其固件的源代码,Hilliard和00whiterabbit将作出相应的回应——将这个漏洞公之于众。
通过这个漏洞进行的攻击,在Hilliard的视频中被称为“antsploit”,可能会给比特大陆用户带来巨大的破坏。
该漏洞位于比特大陆硬件的底层,这意味着,受害者对此无能为力。
能够方便的排查安全漏洞,是人们使用开源软件的主要理由之一。公共评论等正面行为或潜在攻击等负面行为都有助于发现软件的潜在漏洞。在BUG悬赏中,公司能获得的收益远远大于“损失”。
Hilliard推测,比特大陆不进行开源,可能是为了防止用户超频使用硬件,从而增加支持成本。他还表示:

“比特大陆似乎并不关心是否遵循版权法。不幸的是,在BTC网络上使用闭源固件并不是一件好事,因为像Antbleed这样的漏洞可能隐藏其中,这就是中心化的风险。”

-END –
Flash Chan作者
Sonny Sun 编辑
Vera 排版
内容仅供参考,不作为投资建议,风险自担!
版权所有,未经允许,严禁转载
商务合作,请联系
contact@cryptovalleylive.com

为您推荐

发表评论

邮箱地址不会被公开。 必填项已用*标注