Zespół Bitcoin Core naprawił błąd bezpieczeństwa pamięci. Znaczna część węzłów nadal korzysta z podatnych na ataki wersji klienta.
Opublikowano nowe ostrzeżenie o wysokim stopniu powagi: https://t.co/zBboOF1IJC
— Projekt Bitcoin Core (@bitcoincoreorg) 5 maja 2026 r.
Błąd został odkryty przez badacza Coreya Fieldsa i zgłoszony 2 listopada 2024 r.
Kilka dni później programista Peter Vuille opublikował ukrytą poprawkę: aby nie przyciągać uwagi atakujących, została ona wydana pod neutralną nazwą – jako kolejne ulepszenie konfiguracji równoległego sprawdzania skryptów.
Poprawka została udostępniona w bazie kodu w grudniu 2024 r. i uwzględniona w wersji Bitcoin Core 29.0 w kwietniu 2025 r. Ostatnia podatna na atak gałąź, 28.x, zakończyła cykl życia 19 kwietnia 2026 r. — dopiero wtedy programiści ujawnili szczegóły.
Przedstawiciele Bitcoin Core podkreślili, że luka nie ma wpływu na reguły konsensusu blockchaina i dotyczy wyłącznie przetwarzania pamięci lokalnej w oprogramowaniu węzła.
Jaki był problem?
Luka ta była pierwszym błędem bezpieczeństwa pamięci w historii Bitcoin Core. W pewnych okolicznościach górnik mógł stworzyć specjalnie spreparowany, nieprawidłowy blok, który powodował awarię węzła ofiary podczas równoległej walidacji skryptu.
Problem teoretycznie otwierał również drogę do zdalnego wykonania kodu w przypadku nieprawidłowego stanu pamięci. Bitcoin Core uznał taki scenariusz za mało prawdopodobny ze względu na ograniczenia formatu bloku, ale ocenił ryzyko jako wysokie.
Atak został powstrzymany przez prosty czynnik ekonomiczny: aby wykorzystać lukę w zabezpieczeniach, atakujący musiał poświęcić rzeczywistą moc obliczeniową na wydobywanie nieprawidłowych bloków, nie otrzymując za to nagrody.
Deweloperzy naprawili błąd, ale znaczna część sieci nie została jeszcze zaktualizowana. Według Clarka Moody'ego około 43% węzłów Bitcoin nadal działa na poprzednich wersjach klientów.
Przypomnijmy, że w kwietniu programiści wykazali luki w zabezpieczeniach konsensusu Bitcoina.