比特币任意盗币漏洞分析(CVE-2010-5141)教学文档<\/h1>

一、背景知识<\/h2>

1. UTXO模型<\/h3>

1.1 账户模型与UTXO模型的区别<\/h4>

账户模型<\/strong>：数据结构为"账号=>余额"，转账操作简单（A-200，B+200）

代表系统：银行系统、以太坊等<\/li> <\/ul> <\/li>
UTXO模型<\/strong>：比特币特有模型，无直接"账号=>余额"结构

代表系统：比特币<\/li> <\/ul> <\/li> <\/ul>
1.2 UTXO转账机制<\/h4>
以A向B转账200为例：<\/p>

找到A账号下200余额的来源交易x<\/li>
创建新交易y：

输入：交易x<\/li>
输出：向B转账200的交易y<\/li> <\/ul> <\/li>
标记状态：

x交易标记为已花费<\/li>
y交易标记为未花费<\/li> <\/ul> <\/li>
金额规则：

输入输出金额必须相等<\/li>
如需部分转账，剩余金额需转回自己其他地址<\/li> <\/ul> <\/li> <\/ol>
2. 比特币脚本引擎<\/h3>

特性<\/strong>：非图灵完备，提供有限灵活性<\/li>
功能<\/strong>：实现多重签名、资金冻结等简单功能<\/li>
执行原理<\/strong>：

基于堆栈执行（先进先出）<\/li>
定义了一系列操作码(OP_CODE)<\/li> <\/ul> <\/li>
标准转账流程<\/strong>：

填入执行脚本(Script)<\/li>
签名(sig)和公钥(pubKey)压入堆栈<\/li>
OP_CHECKSIG验证签名<\/li>
验证通过压入true，否则压入false<\/li> <\/ol> <\/li> <\/ul>
二、漏洞分析(CVE-2010-5141)<\/h2>
1. 漏洞核心<\/h3>

位置<\/strong>：比特币0.3.3版本的script.cpp<\/code>文件<\/li>
关键函数<\/strong>：VerifySignature<\/code><\/li>
影响<\/strong>：攻击者可盗取任意比特币<\/li>
实际影响<\/strong>：未被利用，修复迅速<\/li> <\/ul> 2. 漏洞代码分析<\/h3> 2.1 VerifySignature函数<\/h4> \/\/ 伪代码表示 <\/span><\/span><\/span><\/span>bool<\/span> VerifySignature<\/span>(CTx txFrom, CTx txTo, ...) { <\/span><\/span> \/\/ 关键调用 <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>EvalScript(txin.scriptSig +<\/span> OP_CODESEPARATOR +<\/span> txout.scriptPubKey, ...)) { <\/span><\/span> return<\/span> false; <\/span><\/span> } <\/span><\/span> return<\/span> true; <\/span><\/span>} <\/span><\/span><\/code><\/pre> txFrom<\/code>：上一笔交易<\/li> txTo<\/code>：当前处理交易<\/li> EvalScript<\/code>参数组成： txin.scriptSig<\/code>（可控，含签名信息）<\/li> OP_CODESEPARATOR<\/code>（分隔符）<\/li> txout.scriptPubKey<\/code>（不可控，含公钥和OP_CHECKSIG）<\/li> <\/ol> <\/li> <\/ul> 2.2 EvalScript函数<\/h4> 返回true条件<\/strong>：堆栈不为空<\/li> 栈顶元素强转为bool后为true（非0）<\/li> <\/ol> <\/li> <\/ul> 2.3 OP_CHECKSIG操作码<\/h4> \/\/ 伪代码表示 <\/span><\/span><\/span><\/span>case<\/span> OP_CHECKSIG: <\/span><\/span> bool<\/span> fSuccess =<\/span> CheckSig(...); <\/span><\/span> if<\/span> (fSuccess) <\/span><\/span> stack.push(vchTrue); \/\/ 非0值 <\/span><\/span><\/span><\/span> else<\/span> <\/span><\/span> stack.push(vchFalse); \/\/ 0值 <\/span><\/span><\/span><\/code><\/pre>2.4 漏洞利用关键 - OP_PUSHDATA4<\/h4> 定义值<\/strong>：78<\/li> 处理逻辑<\/strong>：遇到OP_PUSHDATA4时，指针右移78+4=82位<\/li> 其中78位数据被压入栈<\/li> <\/ol> <\/li> 攻击方式<\/strong>：在txin.scriptSig<\/code>中注入OP_PUSHDATA4操作码<\/li> 导致后续的公钥信息和OP_CHECKSIG指令被"吃掉"作为参数入栈<\/li> 最终判断：堆栈不为空<\/li> 栈顶元素非0<\/li> <\/ul> <\/li> 绕过验证，返回true<\/li> <\/ul> <\/li> <\/ul> 三、漏洞修复方案<\/h2> 修复版本<\/h3> 比特币0.3.8<\/p> 修复方法<\/h3> \/\/ 修复后伪代码 <\/span><\/span><\/span><\/span>bool<\/span> VerifySignature<\/span>(...) { <\/span><\/span> \/\/ 将scriptSig和scriptPubkey分开执行 <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>EvalScript(txin.scriptSig, ...) ||<\/span> <\/span><\/span> !<\/span>EvalScript(txout.scriptPubKey, ...)) { <\/span><\/span> return<\/span> false; <\/span><\/span> } <\/span><\/span> return<\/span> true; <\/span><\/span>} <\/span><\/span><\/code><\/pre> 核心改进<\/strong>：分离执行scriptSig<\/code>和scriptPubkey<\/code><\/li> 效果<\/strong>：scriptSig<\/code>中的恶意操作码无法影响scriptPubkey<\/code>的执行<\/li> <\/ul> 四、教学总结<\/h2> 1. 漏洞要点<\/h3> 根本原因<\/strong>：脚本拼接执行导致注入攻击<\/li> 关键操作码<\/strong>：OP_PUSHDATA4的异常处理<\/li> 利用条件<\/strong>：控制输入脚本(txin.scriptSig)<\/li> <\/ol> 2. 对公链开发的启示<\/h3> 脚本\/虚拟机安全<\/strong>：需严格隔离用户输入与系统脚本<\/li> 操作码设计<\/strong>：需考虑边界情况和异常处理<\/li> 验证机制<\/strong>：关键验证步骤应有独立完整的执行环境<\/li> <\/ol> 3. 研究难点<\/h3> 历史资料稀少<\/li> 早期版本编译环境搭建困难<\/li> 私链测试环境缺乏<\/li> <\/ol> 五、参考资源<\/h2> 比特币StackExchange关于该漏洞的讨论<\/a><\/li> 比特币0.3.3和0.3.8源码对比<\/li> <\/ol>