比特币Merkle树设计中的叶节点弱点(CNVD-2020-29975)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2020-05-06漏洞描述
Merkle tree中文叫做梅克尔树,是计算机数据结构中的一种树。该漏洞源于Merkle tree中叶子节点设计存在某些弱点。攻击者可以利用该漏洞修改任意支付金额。解决建议
一种简单的非分叉补救方法是SPV钱包检查SPV证明的每个内部64位节点不是有效交易。首先,没有通过标准检查的64字节比特币交易,因此这种交易的存在应该引起警报。即使此类交易正常,随机的64字节大块成为语法上有效的比特币交易的可能性也接近2 ^ -6。因此,SPV客户端可以将这种双重事务节点的存在标记为攻击,并拒绝接受SPV证明。修复SPV钱包的另一种方法是,要求同时包含交易E的Merkle证明和币库交易的Merkle证明。由于为币库交易构建双交易节点需要强制使用225位,因此显示有效的币库及其相应的梅克尔包含证明足以发现树的高度。E分支和coinbase分支都应具有相等的树深。保持Merkle证明对数空间约束的另一种解决方案是为最右边的交易ID提供包含证明。如果事务数不是2的幂(一棵完整的树),则此id在树的最后两个节点处看起来是重复的,因此可以推断出树的高度。完整的解决方案将需要软分叉的比特币,以防止具有完整树的块。
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2020-29975 |
- 攻击路径 网络
- 攻击复杂度 N/A
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 部分地
- 保密性 无
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论