Bitcoin Core Feil Avdekket
Bitcoin Core-utviklere har avdekket en kritisk feil som kan tillate minere å krasje enkelte Bitcoin-noder eksternt. Problemet, identifisert som CVE-2024-52911, påvirker Bitcoin Core-versjoner fra 0.14.0 til før 29.0. Feilen ble rettet i Bitcoin Core 29.0, som ble utgitt i april 2025.
Informasjon om Problemet
Bitcoin Core offentliggjorde informasjon om problemet 5. mai 2026, etter at den siste sårbare 28.x-utgivelsen nådde slutten av livssyklusen 19. april. Feilen involverte Bitcoin Cores skript-tolk under blokkvalidering. Ifølge Bitcoin Core kunne en spesiallaget blokk føre til at en node fikk tilgang til minne som allerede var frigitt.
Under validering forbereder Bitcoin Core transaksjonsinngangsdata og sender skriptkontroller til bakgrunnstråder. I enkelte tilfeller kunne en ugyldig blokk ødelegge bufrede data mens en annen tråd fortsatt prøvde å lese dem. Bitcoin Core advarte om at dette kunne tillate en angriper med tilstrekkelig proof-of-work å krasje offer-noder.
«Det er mulig at krasjen kunne føre til fjernkodekjøring, selv om begrensninger på blokkdata gjorde dette utfallet usannsynlig.»
Angrepsmetode og Kostnader
Angrepet var ikke enkelt å gjennomføre; en miner måtte produsere en spesiallaget blokk med tilstrekkelig proof-of-work for å nå kjedetoppen. Dette gjorde angrepet kostbart, ettersom en slik blokk ville vært ugyldig og ikke kunne gi en normal blokkbelønning, noe som ville ført til at angriperen måtte bruke hashkraft uten å motta den vanlige mining-utbetalingen.
Bitcoin Core opplyste at feilen ikke hadde blitt utnyttet i reelle angrep. Rådet fokuserte på feilen, løsningen og tidslinjen for offentliggjøringen. Feilen endret ikke Bitcoins konsensusregler, men var knyttet til minnehåndtering i Bitcoin Core-programvaren, ikke reglene som definerer gyldige Bitcoin-transaksjoner eller blokker.
Tidslinje for Oppdagelse og Løsning
Cory Fields fra MIT Digital Currency Initiative rapporterte privat om feilen 2. november 2024. Bitcoin Core opplyste at rapporten inkluderte et bevis på konsept og et foreslått tiltak for å redusere risikoen. Pieter Wuille presset en hemmelig løsning fire dager senere gjennom PR 31112. Pull-forespørselen ble slått sammen 3. desember 2024, før Bitcoin Core 29.0 ble sendt med løsningen i april 2025.
Offentliggjøringspolicy og Sikkerhetsbekymringer
Rådet fulgte Bitcoin Cores offentliggjøringspolicy for kritiske feil. Politikken sier at problemer med høy alvorlighetsgrad blir offentliggjort etter at den siste berørte utgivelsen når slutten av livssyklusen. I tillegg står nodeoperatører som bruker Bitcoin Core-versjoner før 29.0 fortsatt overfor den gamle feilen.
Bitcoin Core oppdateres ikke automatisk, så brukere må installere nyere versjoner manuelt. En tidligere rapport om risikoene ved blokkjededekentralisering siterte forskning som viste at 21 % av Bitcoin-nodene kjørte utdaterte Bitcoin Core-programvarer i juni 2021. Denne konteksten viser hvorfor eldre klientversjoner kan forbli en sikkerhetsbekymring lenge etter at løsninger er blitt sendt ut.
