Bitcoin Core v30 錢包遷移漏洞可能導致檔案遺失

近期，Bitcoin Core 團隊發布了針對其第 30 版（v30）的一項緊急安全公告，指出在將舊式（legacy）錢包遷移至新格式的過程中，存在一個嚴重漏洞，可能導致使用者電腦上的非錢包檔案遭到意外刪除。此問題已引起台灣加密貨幣社群高度關注，尤其對習慣手動管理節點與錢包的進階用戶而言，風險不容忽視。

漏洞成因與觸發條件

根據 Bitcoin Core 開發者於 GitHub 上的說明，該漏洞源於錢包遷移功能中對檔案路徑處理不當。當使用者執行 migratewallet 指令時，若指定的錢包名稱包含特殊字元（例如連續斜線 // 或相對路徑符號 ../），系統可能誤判目標路徑，進而覆寫或刪除主機上其他位置的檔案。

「這不是理論上的風險——已有測試案例顯示，惡意構造的錢包名稱確實會導致任意檔案被清除。」— Bitcoin Core 核心開發者 Andrew Chow

哪些用戶最需警惕？

使用 Bitcoin Core v30 的桌面用戶（特別是 Windows 與 macOS）
曾手動建立或匯入過 legacy 錢包（非 descriptor 錢包）者
透過命令列工具或 RPC 呼叫執行錢包遷移操作的人

官方建議與應對措施

Bitcoin Core 團隊已於 v30.0 發布後迅速推出修補版本 v30.1，強烈建議所有用戶立即升級。此外，在未更新前，應避免執行任何涉及 legacy 錢包遷移的操作。

三步驟自我防護指南

確認版本：開啟 Bitcoin Core，點選「幫助」→「關於 Bitcoin Core」，檢查是否為 v30.0。
暫停遷移：若尚未遷移 legacy 錢包，請先不要使用「遷移錢包」功能。
立即更新：前往 bitcoincore.org 下載 v30.1 或更新版本。

對台灣用戶的特別提醒

台灣不少自架節點愛好者偏好使用 Bitcoin Core 進行全節點驗證，且常搭配多個錢包管理不同資產。由於部分使用者會將錢包檔案存放在自訂資料夾（如 D:\Crypto\Wallets），一旦觸發此漏洞，可能波及同目錄下的其他重要檔案。

值得注意的是，此漏洞不會影響僅使用 descriptor 錢包的新用戶，也不會透過網路遠端觸發——必須由本機使用者主動執行遷移指令才會發生。因此，一般僅用於同步區塊鏈、未操作錢包功能的節點相對安全。

情境	風險等級
使用 v30.0 並嘗試遷移 legacy 錢包	高風險
使用 v30.0 但未操作錢包遷移	低風險
已升級至 v30.1 或更高版本	無風險

常見問題解答

我的錢包裡有比特幣，會因此被盜嗎？

不會。此漏洞僅可能導致本機檔案被刪除，無法讓攻擊者竊取私鑰或轉走資金。但若備份檔遭刪除，可能造成恢復困難，故仍須謹慎。

如何確認我的錢包是否屬於 legacy 類型？

在 Bitcoin Core 的錢包列表中，若錢包名稱旁標示「Legacy」或建立時間早於 2020 年，通常即為 legacy 錢包。您也可在除錯視窗輸入 getwalletinfo 查看 "format" 欄位是否為 "bdb"。

如果我已經在 v30.0 執行過遷移，該怎麼辦？

請立即檢查原始錢包所在資料夾是否有異常檔案消失（如 .dat、.txt 等）。若有疑慮，可使用檔案復原軟體掃描，並儘快升級至 v30.1 以防止二次風險。

手機版 Bitcoin Wallet App 會受影響嗎？

不會。此漏洞僅存在於 Bitcoin Core 桌面版（Windows/macOS/Linux），與 BlueWallet、Trust Wallet 等行動應用程式無關。

未來還會有類似風險嗎？

Bitcoin Core 團隊已加強路徑驗證機制，並導入更嚴格的沙盒測試流程。建議用戶養成定期備份錢包與系統、並優先使用 descriptor 錢包的習慣，以降低未來潛在風險。