TL;DR:
- Bitcoin Core a corrigé en silence CVE-2024-52911, sa première faille de sécurité mémoire, avant de la divulguer publiquement cette semaine.
- La faille affectait toutes les versions de 0.14.0 à 28.x et permettait à un mineur de faire planter à distance les nœuds avec des blocs invalides.
- Environ 43 % des nœuds actifs exécuteraient encore une version antérieure à la version 29.0, les exposant.
Bitcoin Core a secrètement corrigé la première vulnérabilité de sécurité mémoire de l'histoire du projet, plusieurs mois avant de la divulguer publiquement. La faille, cataloguée sous le numéro CVE-2024-52911 et classée comme à gravité élevée, affectait toutes les versions logicielles entre 0.14.0 et 28.x, et créait la possibilité qu'un mineur malveillant puisse faire planter à distance des nœuds tiers via des blocs invalides spécialement conçus.
Le bogue correspond à une vulnérabilité *use-after-free* dans le moteur de validation des scripts. Lors de la validation des blocs, les données précalculées stockées dans le cache pouvaient être détruites tandis qu’un thread de validation en arrière-plan continuait de les lire. Étant donné le mécanisme sous-jacent, l’exploitation permettait non seulement un arrêt brutal du nœud, mais laissait également ouverte — bien que peu probable — la possibilité d’une exécution de code à distance pendant l’état de mémoire anormal résultant.
Bitcoin Core : Un correctif silencieux qui a protégé le réseau
Cory Fields, chercheur à l'initiative monnaie numérique du MIT, a découvert la vulnérabilité et l'a signalée en privé le 2 novembre 2024. Quatre jours plus tard, le développeur de Bitcoin Core Pieter Wuille a mis en œuvre une correction discrète, délibérément intitulée « Améliorer la journalisation des erreurs de validation de script parallèle » pour éviter d'alerter les attaquants potentiels. La correction a été intégrée au dépôt en décembre 2024 et distribuée avec Bitcoin Core v29.0 en avril 2025.
La divulgation publique n’a eu lieu qu’une fois la ligne de version 28.x arrivée en fin de vie le 19 avril 2026. Le développeur Niklas Gögge a noté qu’il s’agit du premier problème de sécurité mémoire enregistré au cours des deux dernières années de l’historique des avis de sécurité publique du projet, et a reconnu la divulgation responsable de Fields.
Pourquoi n’y a-t-il eu aucune exploitation ?
L'élément dissuasif intégré dans le vecteur d'attaque mérite également attention : tout mineur ayant tenté d'en exploiter la faille aurait dû consommer une puissance de hachage réelle sur des blocs invalides sans aucune récompense — une perte garantie qui explique probablement pourquoi la vulnérabilité est restée inutilisée dans la pratique.
Les règles de consensus de bitcoin n'ont pas été affectées à aucun moment, car le bogue était limité à la gestion de la mémoire du logiciel du nœud. Toutefois, selon les estimations du tableau de bord de Clark Moody, environ 43 % des nœuds actifs continuaient d'exécuter des versions antérieures à la v29.0 et restaient exposés.