Pengumuman Bug Tingkat Keparahan Tinggi di Bitcoin Core
Pengembang Bitcoin Core baru-baru ini mengungkapkan adanya bug dengan tingkat keparahan tinggi yang dapat memungkinkan penambang untuk menjatuhkan beberapa node Bitcoin dari jarak jauh. Masalah ini, yang dilacak sebagai CVE-2024-52911, mempengaruhi versi Bitcoin Core dari 0.14.0 hingga sebelum 29.0. Bug ini telah diperbaiki dalam Bitcoin Core versi 29.0, yang dirilis pada April 2025.
Detail Masalah dan Dampaknya
Pengumuman mengenai masalah ini disampaikan pada 5 Mei 2026, setelah jalur rilis 28.x yang terakhir rentan mencapai akhir masa pakai pada 19 April. Masalah ini terkait dengan interpreter skrip Bitcoin Core selama proses validasi blok. Bitcoin Core menyatakan bahwa blok yang dirancang khusus dapat menyebabkan node mengakses memori setelah data tersebut dibebaskan.
Selama proses validasi, Bitcoin Core menghitung data input transaksi sebelumnya dan mengirimkan pemeriksaan skrip ke thread latar belakang. Dalam beberapa kasus, blok yang tidak valid dapat merusak data yang disimpan sementara thread lain masih mencoba membacanya.
Bitcoin Core menyebutkan bahwa hal ini dapat memungkinkan penyerang dengan cukup bukti kerja untuk menjatuhkan node korban. Mereka juga menambahkan bahwa ada “kemungkinan” keruntuhan tersebut dapat mendukung eksekusi kode jarak jauh, meskipun batasan pada data blok membuat hasil tersebut “tidak mungkin”.
Kesulitan dalam Melakukan Serangan
Serangan ini tidak mudah dilakukan; seorang penambang perlu menghasilkan blok yang dirancang khusus dengan cukup bukti kerja untuk mencapai ujung rantai. Hal ini membuat serangan ini mahal, karena blok semacam itu akan dianggap tidak valid dan tidak dapat memperoleh hadiah blok normal, sehingga penyerang harus menghabiskan hashpower tanpa mendapatkan imbalan penambangan yang biasa.
Bitcoin Core tidak menyatakan bahwa bug tersebut telah digunakan dalam serangan nyata. Pemberitahuan tersebut lebih berfokus pada cacat, perbaikan, dan garis waktu pengungkapan. Bug ini tidak mengubah aturan konsensus Bitcoin, melainkan terkait dengan penanganan memori dalam perangkat lunak Bitcoin Core, bukan aturan yang mendefinisikan transaksi atau blok Bitcoin yang valid.
Proses Pelaporan dan Perbaikan
Cory Fields dari MIT Digital Currency Initiative melaporkan bug tersebut secara pribadi pada 2 November 2024. Bitcoin Core menyatakan bahwa laporan tersebut mencakup bukti konsep dan cara yang diusulkan untuk mengurangi risiko. Pieter Wuille mendorong perbaikan secara diam-diam empat hari kemudian melalui PR 31112, yang digabungkan pada 3 Desember 2024, sebelum Bitcoin Core 29.0 dirilis dengan perbaikan pada April 2025.
Kebijakan Pengungkapan dan Risiko Keamanan
Pemberitahuan ini mengikuti kebijakan pengungkapan Bitcoin Core untuk bug dengan tingkat keparahan tinggi, yang menyatakan bahwa masalah dengan tingkat keparahan tinggi diungkapkan setelah rilis terakhir yang terpengaruh mencapai akhir masa pakai. Selain itu, operator node yang menggunakan versi Bitcoin Core sebelum 29.0 masih menghadapi bug lama.
Bitcoin Core tidak melakukan pembaruan otomatis, sehingga pengguna harus menginstal versi yang lebih baru secara manual. Laporan sebelumnya tentang risiko desentralisasi blockchain mengutip penelitian yang menyatakan bahwa 21% node Bitcoin menjalankan perangkat lunak Bitcoin Core yang usang pada Juni 2021. Konteks ini menunjukkan mengapa versi klien yang lebih lama dapat tetap menjadi masalah keamanan lama setelah perbaikan dirilis.
