Bitcoin Core 开发人员在发现 30.0 和 30.1 版本中存在钱包迁移漏洞后发布紧急通知,该漏洞在极少数情况下可能删除同一节点上的钱包文件,对于没有备份的用户而言,常规升级步骤可能演变为资金损失事件。
在 1 月 5 日的声明中,Bitcoin Core 项目在 X 平台上警告称:“在极少数情况下,迁移传统(BDB)钱包可能会删除同一节点上的所有钱包文件。如果这些钱包没有备份,可能导致资金损失。”
开发团队表示修复方案将随 Bitcoin Core 30.2 版本推出,并建议用户在该版本发布前不要使用 30.0 或 30.1 版本迁移传统钱包。“仅传统钱包迁移过程受影响。所有其他使用场景均不受影响。您可以继续正常使用 Bitcoin Core,包括现有钱包和运行无钱包节点。”
比特币社区对严重性存在分歧
这一披露终结了 GitHub 上用户跟踪该问题时持续发酵的讨论和不满。用户 @B__T__C 声称“多个用户两周多来一直在报告此问题”,并认为维护者难以复现该漏洞,同时附上了公共问题讨论串链接。
另一账号 Greg Tonoski(@GregTonoski)指出早在 v30 版本发布前就有警告,并认为此事反映了开发者与用户之间更广泛的脱节。“用户在 v30 发布前一个月就警告过 @bitcoincoreorg(@achow101)”,他写道,并补充道:“我开始怀疑比特币是否还在满足比特币用户的需求。”
然而最激烈的争论在于“极少数”如何转化为实际风险,特别是考虑到 v30 用户可能面临的迁移路径。@barackomaba 认为影响被低估,因为 Bitcoin Core v30.0“明确停止加载或创建 BDB 传统钱包”,使得受影响用户实际上只有一条路可走:迁移。
“人们表现得好像传统钱包迁移是什么冷门边缘案例”,该账号写道。“但 v30.0 明确停止加载或创建 BDB 传统钱包,因此任何升级到 v30 且仍在使用 Bitcoin Core 传统钱包的用户实际上只有一条前进路径:迁移。”
‘传统钱包’在 2022 年 4 月前一直是默认钱包类型(23.0 版本之前,新钱包默认均为‘传统型’)。此外,迁移需要失败。显然这不会发生在大多数迁移中,但存在多种可能触发此情况的方式。”
随后他描述了一种场景:用户在钱包未加载时修剪节点,这可能导致迁移后的钱包加载步骤失败,使进程进入“清理路径”,从而删除整个钱包目录及“其中所有内容”,包括其他钱包甚至迁移过程中创建的回滚备份。
并非所有人都认为此事值得警惕。@w_s_bitcoin 通过强调采用率和实际影响进行反驳,指出 Core v30“当前”占“所有比特币节点的五分之一”,且“据报告仅一名用户受此漏洞影响”。Wicked 称其为“糟糕的漏洞”,但补充说‘未造成任何已知的比特币损失”,并表示修复方案值得欢迎。
根据 Bitcoin Core 自身的通知,无可争议的是实践指导:运行 30.0 或 30.1 版本的用户应避免迁移传统(BDB)钱包直至 30.2 版本发布,且在任何迁移尝试前务必确保钱包文件已备份。
截至发稿时,比特币报价 91,717 美元。
