Bitcoin Core незаметно исправил свою первую в истории ошибку безопасности памяти за несколько месяцев до публичного раскрытия уязвимости во вторник, в то время как значительная часть нод может по-прежнему работать с уязвимым программным обеспечением.
Серьезная уязвимость могла позволить майнерам удаленно вызывать сбои и потенциально выполнять код на нодах других пользователей, используя специально созданные недействительные блоки.
Уязвимость, получившая обозначение CVE-2024-52911, затронула все версии Bitcoin Core от 0.14.0 до 28.x. Майнер, готовый потратить реальные PoW-ресурсы на специально созданные недействительные блоки, мог бы использовать ее для сбоя нод-жертв.
Кроме того, поскольку уязвимость представляет собой ошибку использования памяти после освобождения, удаленное выполнение кода было возможно во время возникшего аномального состояния памяти, хотя Bitcoin Core заявил, что ограничения данных блока делают такой исход маловероятным.
Однако вектор атаки также имел встроенный сдерживающий фактор. Любой майнер, пытавшийся это сделать, должен был бы потратить реальную вычислительную мощность на недействительные блоки без возможности восстановления вознаграждения.
Кори Филдс из Инициативы по цифровым валютам Массачусетского технологического института обнаружил уязвимость и сообщил о ней в частном порядке 2 ноября 2024 года. Четыре дня спустя разработчик Bitcoin Core Питер Вуилле выпустил скрытое исправление.
Скрытое исправление было включено в декабре 2024 года и позже добавлено в версию Bitcoin Core 29.0 в апреле 2025 года. Последняя уязвимая версия 28.x, достигла конца жизненного цикла 19 апреля 2026 года, что открыло путь для публичного раскрытия во вторник. Однако, примерно 43% нод Bitcoin могут по-прежнему работать на софте, предшествующем версии 29, и оставаться подверженными риску.
Источник
Уникальность
Реклама: 🔥 Хочешь получить Telegram Premium и стать гуру Polymarket? Кликай сюда!
