Alvorlig Fejl i Bitcoin Core
Bitcoin Core-udviklere har afsløret en alvorlig fejl, der kan tillade minearbejdere at nedlægge visse Bitcoin-noder på afstand. Problemet, der er registreret som CVE-2024-52911, påvirker Bitcoin Core-versioner fra 0.14.0 til før 29.0. Fejlen blev rettet i Bitcoin Core 29.0, som blev udgivet i april 2025.
Fejlens Detaljer
Bitcoin Core offentliggjorde information om problemet den 5. maj 2026, efter at den sidste sårbare 28.x-udgivelse nåede slutningen af sin livscyklus den 19. april. Problemet involverede Bitcoin Cores script-fortolker under blokvalidering. Ifølge Bitcoin Core kunne en specielt udformet blok få en node til at tilgå hukommelse, som allerede var blevet frigivet.
Under valideringen forudberegner Bitcoin Core transaktionsinputdata og sender scriptkontroller til baggrundstråde. I nogle tilfælde kunne en ugyldig blok ødelægge cachede data, mens en anden tråd stadig forsøgte at læse dem. Bitcoin Core oplyste, at dette kunne tillade en angriber med tilstrækkelig proof-of-work at nedlægge offer-noder.
Angrebets Komplexitet
Det blev også nævnt, at “det er muligt“, at nedbruddet kunne understøtte fjernkodeudførelse, selvom begrænsningerne på blokdata gjorde dette resultat usandsynligt. Angrebet var ikke simpelt at udføre; en minearbejder skulle producere en specielt udformet blok med tilstrækkelig proof-of-work for at nå kædets spids. Dette gjorde angrebet kostbart, da en sådan blok ville være ugyldig og ikke kunne tjene en normal blokbelønning, hvilket efterlod angriberen til at bruge hashkraft uden at indsamle den sædvanlige minedriftsudbetaling.
Rettelse og Offentliggørelse
Bitcoin Core oplyste, at fejlen ikke var blevet udnyttet i reelle angreb. Rådgivningen fokuserede på fejlen, rettelsen og offentliggørelsestidslinjen. Fejlen ændrede ikke Bitcoins konsensusregler, da den var relateret til hukommelseshåndtering i Bitcoin Core-software og ikke de regler, der definerer gyldige Bitcoin-transaktioner eller -blokke.
Cory Fields fra MIT Digital Currency Initiative rapporterede privat om fejlen den 2. november 2024. Bitcoin Core oplyste, at rapporten indeholdt et proof of concept samt et forslag til, hvordan risikoen kunne reduceres. Pieter Wuille skubbede en hemmelig rettelse fire dage senere gennem PR 31112. Pull-anmodningen blev fusioneret den 3. december 2024, før Bitcoin Core 29.0 blev sendt med rettelsen i april 2025.
Risici ved Ældre Versioner
Rådgivningen fulgte Bitcoin Cores offentliggørelsespolitik for fejl med høj alvorlighed, som siger, at problemer med høj alvorlighed offentliggøres, efter at den sidste berørte udgivelse når slutningen af sin livscyklus. Derudover står nodeoperatører, der bruger Bitcoin Core-versioner før 29.0, stadig over for den gamle fejl. Bitcoin Core opdateres ikke automatisk, så brugerne skal manuelt installere nyere versioner.
En tidligere rapport om decentraliseringsrisici i blockchain nævnte forskning, der viste, at 21 % af Bitcoin-noder kørte forældet Bitcoin Core-software i juni 2021. Denne kontekst viser, hvorfor ældre klientversioner kan forblive en sikkerhedsbekymring længe efter, at rettelser er blevet sendt.
