Paglalahad ng Isyu
Inilabas ng mga developer ng Bitcoin Core ang isang bug na may mataas na antas ng panganib na maaaring pahintulutan ang mga minero na malayuang i-crash ang ilang Bitcoin node. Ang isyu, na tinutukoy bilang CVE-2024-52911, ay nakaapekto sa mga bersyon ng Bitcoin Core mula 0.14.0 hanggang 28.x. Ang bug ay naayos sa Bitcoin Core 29.0, na inilabas noong Abril 2025.
Paglalahad ng Detalye
Inilabas ng Bitcoin Core ang isyu sa publiko noong Mayo 5, 2026, matapos ang huling bersyon ng 28.x na naging obsolete noong Abril 19. Ang isyu ay kinasasangkutan ng script interpreter ng Bitcoin Core sa panahon ng pag-validate ng block. Sinabi ng Bitcoin Core na ang isang espesyal na nilikhang block ay maaaring magdulot ng isang node na ma-access ang memorya matapos na ang data ay na-free na.
Sa panahon ng validation, ang Bitcoin Core ay nag-pre-calculate ng transaction input data at nagpapadala ng script checks sa mga background thread. Sa ilang mga kaso, ang isang hindi wastong block ay maaaring sirain ang cached data habang ang isa pang thread ay patuloy na sumusubok na basahin ito. Sinabi ng Bitcoin Core na maaaring pahintulutan nito ang isang umaatake na may sapat na proof-of-work na i-crash ang mga biktimang node.
Mga Panganib at Limitasyon
“Posible na ang pag-crash ay maaaring suportahan ang remote code execution, bagaman ang mga limitasyon sa block data ay ginawang ‘hindi malamang’ ang kinalabasan na iyon.”
Ang pag-atake ay hindi madaling isagawa. Kailangan ng isang minero na makabuo ng isang espesyal na nilikhang block na may sapat na proof-of-work upang maabot ang chain tip. Iyon ay nagpasikat sa pag-atake dahil ang ganitong block ay magiging hindi wasto. Hindi ito makakakuha ng normal na block reward, na nag-iiwan sa umaatake na gumastos ng hashpower nang hindi nakakatanggap ng karaniwang mining payout.
Pag-uulat at Pag-aayos
Hindi sinabi ng Bitcoin Core na ang bug ay ginamit sa mga tunay na pag-atake. Ang advisory ay nakatuon sa depekto, ang pag-aayos, at ang timeline ng paglalantad. Ang bug ay hindi nagbago sa mga consensus rules ng Bitcoin. Ito ay nakatali sa paghawak ng memorya sa software ng Bitcoin Core, hindi sa mga patakaran na nagtatakda ng wastong Bitcoin transactions o blocks.
Si Cory Fields ng MIT Digital Currency Initiative ay pribadong iniulat ang bug noong Nobyembre 2, 2024. Sinabi ng Bitcoin Core na ang ulat ay may kasamang proof of concept at isang iminungkahing paraan upang mabawasan ang panganib. Si Pieter Wuille ay nag-push ng isang covert fix apat na araw mamaya sa pamamagitan ng PR 31112. Ang pull request ay pinagsama noong Disyembre 3, 2024, bago ang Bitcoin Core 29.0 na inilabas kasama ang pag-aayos noong Abril 2025.
Mga Impormasyon sa Seguridad
Ang advisory ay sumunod sa disclosure policy ng Bitcoin Core para sa mga bug na may mataas na antas ng panganib. Ang patakaran nito ay nagsasaad na ang mga isyu na may mataas na antas ng panganib ay inilalantad pagkatapos na ang huling apektadong release ay maging obsolete. Bukod dito, ang mga operator ng node na gumagamit ng mga bersyon ng Bitcoin Core bago ang 29.0 ay patuloy na nahaharap sa lumang bug.
Ang Bitcoin Core ay hindi awtomatikong nag-a-update, kaya’t ang mga gumagamit ay kailangang manu-manong mag-install ng mas bagong bersyon. Isang nakaraang ulat sa mga panganib ng decentralization ng blockchain ay nagbanggit ng pananaliksik na 21% ng mga Bitcoin node ay nagpapatakbo ng lipas na software ng Bitcoin Core noong Hunyo 2021. Ipinapakita ng konteksto na ito kung bakit ang mga mas lumang bersyon ng kliyente ay maaaring manatiling isang alalahanin sa seguridad kahit na matagal na ang mga pag-aayos.
