Lỗi Nghiêm Trọng Trong Bitcoin Core
Các nhà phát triển Bitcoin Core vừa công bố một lỗi nghiêm trọng có thể cho phép thợ mỏ làm sập một số nút Bitcoin từ xa. Vấn đề này, được theo dõi với mã CVE-2024-52911, ảnh hưởng đến các phiên bản Bitcoin Core từ 0.14.0 đến trước 29.0. Lỗi này đã được khắc phục trong phiên bản Bitcoin Core 29.0, phát hành vào tháng 4 năm 2025.
Thông Tin Về Lỗi
Bitcoin Core đã công khai thông tin về lỗi này vào ngày 5 tháng 5 năm 2026, sau khi phiên bản 28.x cuối cùng có lỗ hổng đã hết thời gian sử dụng vào ngày 19 tháng 4. Vấn đề liên quan đến trình thông dịch script của Bitcoin Core trong quá trình xác thực khối. Theo Bitcoin Core, một khối được tạo ra đặc biệt có thể khiến một nút truy cập vào bộ nhớ sau khi dữ liệu đó đã được giải phóng.
Cách Thức Tấn Công
Trong quá trình xác thực, Bitcoin Core tính toán trước dữ liệu đầu vào giao dịch và gửi các kiểm tra script đến các luồng nền. Trong một số trường hợp, một khối không hợp lệ có thể làm hỏng dữ liệu đã được lưu trong bộ nhớ cache trong khi một luồng khác vẫn cố gắng đọc nó. Bitcoin Core cho biết điều này có thể cho phép một kẻ tấn công có đủ bằng chứng công việc làm sập các nút nạn nhân.
“Có khả năng vụ sập có thể hỗ trợ thực thi mã từ xa, mặc dù các giới hạn về dữ liệu khối khiến kết quả đó không có khả năng.”
Cuộc tấn công không dễ thực hiện. Một thợ mỏ sẽ cần phải tạo ra một khối được thiết kế đặc biệt với đủ bằng chứng công việc để đạt đến đỉnh chuỗi. Điều này khiến cuộc tấn công trở nên tốn kém vì một khối như vậy sẽ không hợp lệ và không thể kiếm được phần thưởng khối bình thường, khiến kẻ tấn công phải tiêu tốn sức mạnh băm mà không thu được khoản thanh toán khai thác thông thường.
Thông Tin Bổ Sung
Bitcoin Core không cho biết liệu lỗi này đã được sử dụng trong các cuộc tấn công thực tế hay chưa. Thông báo tập trung vào lỗ hổng, cách khắc phục và thời gian công bố. Lỗi này không thay đổi các quy tắc đồng thuận của Bitcoin; nó liên quan đến việc xử lý bộ nhớ trong phần mềm Bitcoin Core, không phải các quy tắc xác định giao dịch hoặc khối Bitcoin hợp lệ.
Cory Fields từ MIT Digital Currency Initiative đã báo cáo riêng lỗi này vào ngày 2 tháng 11 năm 2024. Bitcoin Core cho biết báo cáo bao gồm một bằng chứng khái niệm và một cách đề xuất để giảm thiểu rủi ro. Pieter Wuille đã đẩy một bản sửa chữa bí mật bốn ngày sau đó thông qua PR 31112. Yêu cầu kéo đã được hợp nhất vào ngày 3 tháng 12 năm 2024, trước khi Bitcoin Core 29.0 được phát hành với bản sửa lỗi vào tháng 4 năm 2025.
Chính Sách Công Bố
Thông báo này tuân theo chính sách công bố của Bitcoin Core đối với các lỗi nghiêm trọng. Chính sách của họ quy định rằng các vấn đề nghiêm trọng sẽ được công bố sau khi phiên bản cuối cùng bị ảnh hưởng hết thời gian sử dụng. Ngoài ra, các nhà điều hành nút sử dụng các phiên bản Bitcoin Core trước 29.0 vẫn phải đối mặt với lỗi cũ. Bitcoin Core không tự động cập nhật, vì vậy người dùng phải cài đặt các phiên bản mới hơn một cách thủ công.
Một báo cáo trước đó về rủi ro phân quyền blockchain đã chỉ ra rằng 21% các nút Bitcoin đã chạy phần mềm Bitcoin Core lỗi thời vào tháng 6 năm 2021. Bối cảnh đó cho thấy lý do tại sao các phiên bản khách hàng cũ có thể vẫn là mối quan tâm về an ninh lâu sau khi các bản sửa lỗi được phát hành.
