TL;DR:
- Bitcoin Core aplicó silenciosamente un parche para CVE-2024-52911, su primera vulnerabilidad de seguridad de memoria, antes de divulgarla públicamente esta semana.
- La vulnerabilidad afectó a todas las versiones desde la 0.14.0 hasta la 28.x y permitió a un minero provocar el cierre remoto de nodos con bloques inválidos.
- Aproximadamente el 43% de los nodos activos aún estarían ejecutando software anterior a la versión 29.0, lo que los dejaría expuestos.
Bitcoin Core patchó secretamente la primera vulnerabilidad de seguridad de memoria en la historia del proyecto, meses antes de divulgarla públicamente. La falla, catalogada como CVE-2024-52911 y clasificada como de alta gravedad, afectó a todas las versiones del software entre 0.14.0 y 28.x, y creó la posibilidad de que un minero malicioso pudiera provocar el cierre remoto de nodos de terceros mediante bloques inválidos especialmente diseñados.
El error corresponde a una vulnerabilidad de *uso-después-de-liberar* en el motor de validación de scripts. Durante la validación de bloques, los datos precalculados almacenados en la memoria caché podrían destruirse mientras un hilo de validación en segundo plano aún los estaba leyendo. Dado el mecanismo subyacente, la explotación no solo permitía un cierre abrupto del nodo, sino que también dejaba abierta —aunque poco probable— la posibilidad de ejecución remota de código durante el estado anormal de memoria resultante.
Bitcoin Core: Un parche silencioso que protegió la red
Cory Fields, un investigador de la Iniciativa de Moneda Digital del MIT, descubrió la vulnerabilidad y la informó privadamente el 2 de noviembre de 2024. Cuatro días después, el desarrollador de Bitcoin Core Pieter Wuille implementó una corrección sigilosa, titulada deliberadamente “Mejorar el registro de depuración de errores de validación de scripts en paralelo” para evitar alertar a posibles atacantes. La corrección se incorporó al repositorio en diciembre de 2024 y se distribuyó con Bitcoin Core v29.0 en abril de 2025.
La divulgación pública solo tuvo lugar una vez que la línea de la versión 28.x alcanzó el fin de su vida útil el 19 de abril de 2026. El desarrollador Niklas Gögge señaló que este es el primer problema de seguridad de memoria registrado en aproximadamente dos años de historia de avisos de seguridad públicos del proyecto, y reconoció la divulgación responsable de Fields.
¿Por qué no hubo una explotación?
El elemento disuasorio incorporado en el vector de ataque también merece atención: cualquier minero que intentara explotarlo habría necesitado consumir potencia de hash real en bloques inválidos sin ninguna recompensa en absoluto: una pérdida garantizada que probablemente explica por qué la vulnerabilidad permaneció inactiva en la práctica.
Las reglas de consenso de bitcoin no se vieron afectadas en ningún momento, ya que el error se limitó al manejo de memoria del software del nodo. Sin embargo, según estimaciones del panel de Clark Moody, alrededor del 43% de los nodos activos aún estarían ejecutando versiones anteriores a la v29.0 y seguirían expuestos.