虽然比特币目前的运营困难且损失很大，但许多部门正面临裁员。但房子在雨中泄漏，其旗舰产品现在有固件漏洞。

几周前，比特币核心开发人员James Hilliard在Bit15的S15中发现了固件缺陷。 Twitter用户00whiterabbit后来根据Hilliard的调查结果深入研究了漏洞代码。上周，Hilliard在Twitter的Twitter帐户上分享了一个视频，该漏洞代码有效。

希利亚德提议披露比特兰的缺陷，但希望能够满足一个条件。:比特币必须符合GNU通用公共许可证（GNU GPL）和开源固件。

Hilliard说：“比特币的大陆固件存在许多漏洞。修复比特币中的漏洞对于比特币网络的发展非常重要。”

漏洞

Hilliard在社区中享有BIP91的声誉。几周前，他在审核Bits Continental支持网站的固件更新文件中发现了此漏洞。虽然细节尚未公布，但他在该公司最强大的SHA256采矿机S15的固件中发现了这个漏洞。希利亚德认为，几乎可以肯定，比特兰的所有矿工都或多或少都有同样的脆弱性。

“我也很确定固件中还有许多其他漏洞，”他补充道。 “在安全性方面，设计非常糟糕。”

此漏洞允许用户直接对计算机进行源访问。——这很危险。理论上，只需要通过控制矿工的IP地址进行远程操作，这意味着矿井可以重新编程。这样做可以将挖掘的BTC转移到另一个比特币地址或让矿工完全停止工作。同时，硬件本身可以由完全不同的硬件（例如Brainins OS或Dragonmintfirmware）替换。

但是，远程控制这些机器几乎是不可能的。首先，只要矿山有适当的防火墙或强大的用户名和密码保护，它就不会受到损害。其次，如果您无法访问固件的源代码，则很难创建兼容的自定义固件。因此，这种特殊风险可能不是主要问题。但问题是Hilliard认为Bitland上的固件充满了缺陷。

事实上，这不是第一次在比特币固件中发现错误。 2017年初，一位匿名安全工程师发现几乎所有的蚂蚁矿工都可以远程关闭。之前的漏洞被称为“Antbleed”，因为当比特币网络脱机时，它可能会破坏一半的散列能力。可以说这不仅是蚂蚁采矿机的拥有者的问题，而且对整个比特币网络也构成一定的安全风险。

开源许可证

Hilliard和00whiterabbit尚未发布漏洞代码，但他们正在开发最终将发布的版本。这两家公司愿意向Bitland披露漏洞，允许硬件制造商修复固件和漏洞。但有一个前提是大陆必须遵守GNU GPL。

比特币的固件基于Linux操作系统和cgminer:构建。这是Hilliard和其他工程师开发的开源挖掘软件。 Linux和cgminer都是根据GNU GPL许可的。这种广泛使用的开源许可证允许任何人自由运行，研究，共享和修改代码。——当然生成的软件本身是免费的。

“所以Bitland上的固件也应该是开源的，”Hilliard解释道。但Bitland似乎并不关心遵守版权法。不幸的是，在比特币网络上使用闭源固件并不是一件好事，因为像Antbleed这样的事件可能会被隐藏。这是一个太中心的风险。

目前还不清楚为什么采矿巨头违反了GNU GPL。希利亚德怀疑这可能是“为了防止用户过度使用他们的采矿机器并降低成本。”其他人说Bitstream可能更倾向于关闭固件源代码，因为这会让攻击者更难找到漏洞。

到目前为止，Bitland尚未评论此漏洞，其固件仍然是封闭源。因此，没有理由相信公司现在会改变现有的方式。——虽然Hilliard仍然希望比特币符合GPU GPL并鼓励用户提交开源请求。

希利亚德说：“之前，这可能是因为Bitland曾经披露过代码的社区压力。”

我们联系了Bitland并询问了该公司对Hilliard发现的漏洞有多了解，以及它是否打算修复漏洞以及是否打算遵守GNU GPL。作为回应，比特币发言人发布了以下声明:

“我们非常感谢开源社区发现矿山固件中的潜在漏洞，我们正在积极研究这一点。我们将继续采取必要措施，为蚂蚁矿山用户提供最佳，最安全的采矿经验。“