TL;DR:
- Ipinagpatuloy ng Bitcoin Core ang pagpapabuti sa CVE-2024-52911, ang unang memory security bug nito, bago ito ipahayag sa publiko noong linggong ito.
- Ang kamalian ay nakaaapekto sa lahat ng bersyon mula 0.14.0 hanggang 28.x at nagbigay-daan para sa isang miner na makapag-crash ng mga node nang malayo gamit ang di-wastong mga block.
- Kasalukuyang nagpapatakbo pa rin ng software bago ang bersyon 29.0 ang halos 43% ng aktibong node, na nag-iiwan sa kanila ng eksposed.
Pinagtibay nang lihim ng Bitcoin Core ang unang vulnerability sa seguridad ng memorya sa kasaysayan ng proyekto, ilang buwan bago ito ipahayag sa publiko. Ang kamalian, nakalista bilang CVE-2024-52911 at klasipikado bilang mataas na seriedad, tumutok sa lahat ng bersyon ng software mula 0.14.0 hanggang 28.x, at naglikha ng posibilidad na makapag-crash ng malikhaing miner sa malayo ang mga third-party node sa pamamagitan ng espesyal na gawaing hindi wastong mga block.
Ang bug ay tumutugma sa isang *use-after-free* na vulnerability sa script validation engine. Sa panahon ng block validation, maaaring masira ang precalculated na data na naka-store sa cache habang ang isang background validation thread ay patuloy na nagbabasa nito. Dahil sa nakapag-ugat na mekanismo, ang exploit ay hindi lamang nagbigay-daan sa isang biglaang pag- shutdown ng node, kundi nag-iwan din ng posibilidad — bagaman hindi malamang — ng remote code execution habang nasa abnormal na memorya state.
Bitcoin Core: Isang tahimik na patch na nagprotekta sa network
Si Cory Fields, isang mananaliksik sa MIT Digital Currency Initiative, ang nahanap ng vulnerability at privately inilapit ito noong Nobyembre 2, 2024. Apat na araw pagkatapos, ang Bitcoin Core developer na si Pieter Wuille ay nag-implement ng isang lihim na pag-aayos, sinadyang pinamagatang “Improve parallel script validation error debug logging” upang maiwasan ang pagbabala sa mga posibleng attacker. Ang pag-aayos ay isinama sa repository noong Disyembre 2024 at ipinamahagi kasama ang Bitcoin Core v29.0 noong Abril 2025.
Ang pampublikong pagpapahayag ay naganap lamang pagkatapos mabawasan ang 28.x version line noong Abril 19, 2026. Tandaan ng developer na Niklas Gögge na ito ang unang memory security issue na nakarekord sa loob ng dalawang taon ng kasaysayan ng pampublikong security advisory ng proyekto, at inamin niya ang responsible disclosure ni Fields.
Bakit Wala Namang Exploit?
Ang elemento na nagpapahina na isinama sa attack vector ay nagtataglay din ng pansin: anumang miner na sumubok na pahusayin ito ay kailangang sunugin ang totoong hashpower sa mga hindi wastong block na walang reward anuman — isang siguradong pagkawala na malamang ang nagpaliwanag kung bakit nanatiling hindi aktibo ang vulnerability sa praktika.
Hindi naapektuhan ang mga patakaran sa pagkakasundo ng bitcoin sa anumang punto, dahil ang bug ay limitado sa pagpapahalaga sa memorya ng node software. Gayunpaman, batay sa mga estyma mula sa dashboard ni Clark Moody, halos 43% ng aktibong node ay patuloy na nagpapatakbo ng mga bersyon bago ang v29.0 at mananatiling eksposed.