比特大陆:蚂蚁矿机固件升级声明
最近关于蚂蚁矿机固件可以远程终止矿机挖矿的消息倍引争议。这一功能的代码是由蚂蚁矿机固件团队设计编写的,这个固件一直是开源软件,并未有恶意存在。
我们在此声明,这项功能设计初衷是,针对将矿机托管在矿场的客户,当矿机失窃或者未经允许被扣留时,矿工可以通过这一功能远程关闭矿机,同时为执法机构提供更多追踪线索。如同许多智能手机厂商提供的远程删除和远程关机功能一样,未经矿工允许,比特大陆绝不会对其矿机使用这一功能。在不止一次的矿场失窃或者矿场工作人员失职事件中,这项功能显得尤为重要:
- 2014年,中国沈阳的一家矿厂私自扣留客户矿机1000台。
- 2015年,格鲁吉亚矿场扣留矿机超过2000台。
- 2017年,加拿大矿场未经同意扣留比特大陆在其矿场托管矿机。
然而,这一功能始终未能开发完成。我们从生产S7矿机时萌生了这个想法,并计划与S9矿机一共问世。我们希望这个功能可以大大造福我们的客户。但是,由于技术上的问题,我们未能完成这个功能的开发工作,并与2016年12月关闭了用于测试的服务器。但我们犯了一个错误:我们没有删除这个未完成的功能的代码。关于比特币未来发展方向的激烈辩论正在进行中,这一漏洞被指出,社区对此产生极大的误解。我们深表歉意。
此漏洞影响的产品如下:
- 蚂蚁矿机 S9
- 蚂蚁矿机 R4
- 蚂蚁矿机 T9
- 蚂蚁矿机 L3
- 蚂蚁矿机 L3+
这一漏洞可能使MITM(中间人攻击)和DNS劫持有机可乘,导致对客户的安全隐患,我们对此深表歉意。需要提醒的是,现存的stratum协议在MITM和DNS的攻击下也是十分脆弱的。整个挖矿社区需要团结起来共同设计新一代的挖矿协议来抵御潜在风险。
我们已经通过GitHub发布最新的开源代码并在网站上添加新的固件用以解除这一漏洞。我们建议所有矿工都能更新这一固件,强烈建议不要使用来自第三方的软件,以避免固件功能失常或遭受钓鱼网站攻击。
Antminer S9 firmware
https://shop.bitmain.com/files/download/Antminer-S9-all-201704270135-autofreq-user-Update2UBI-NF.tar.gz
Antminer T9 firmware
https://shop.bitmain.com/files/download/Antminer-T9-all-201704270140-autofreq-user-Update2UBI-NF.tar.gz
Antminer R4 firmware
https://shop.bitmain.com/files/download/Antminer-R4-all-201704270142-autofreq-user-Update2UBI-NF.tar.gz
Antminer L3 firmware
https://shop.bitmain.com/files/download/Antminer-L3-201704271449-384M.tar.gz
Antminer L3+ firmware
https://shop.bitmain.com/files/download/Antminer-L3+-201704271426-384M.tar.gz
Source code on GitHub
S9,T9和R4的开源代码:
https://github.com/bitmaintech/bmminer-mix
L3和L3+的开源代码:
https://github.com/bitmaintech/setup-A8 其中包含:
https://github.com/bitmaintech/ltc_frimware
此外,我们建议使用蚂蚁矿机的矿场主修改矿机里面的DNS解析配置文件:/etc/hosts,将auth.minerlink.com域名解析为:127.0.0.1,更改方法如下:
- Use ssh to login to the miner
- Run command: echo “127.0.0.1 auth.minerlink.com” >> /etc/hosts
- Run command: sync
我们密切关注社区指出的这一漏洞可能导致的问题,将致力于持续改进并解决相关问题。为此我们由衷感谢社区指出的这个漏洞。同时对社区为蚂蚁矿机的开源代码的贡献表示谢意。我们也借此机会表达对开源社区的坚定信念及提高代码质量和测试流程严谨性的决心。
我们将继续研发这一功能,为托管矿机的矿工用户提供有效的远程控制技术服务。我们会给这一功能装上开关,并默认处于关闭状态。客户甚至可以设置他们自己的远程认证服务器地址。在这项功能开发完成之前,我们不会把相关功能的代码应用到任何生产的矿机中。