Selon Odaily, les développeurs de Bitcoin ont révélé des détails sur une vulnérabilité logicielle importante. Les développeurs expérimentés de Core ont signalé que plus de 13 % des ordinateurs domestiques et commerciaux exécutant des règles Bitcoin sont susceptibles d'être victimes d'attaques d'arrêt à distance. La vulnérabilité, identifiée comme CVE-2024-35202, affecte les nœuds Bitcoin fonctionnant sur des versions logicielles Core antérieures à 25.0. Les nœuds qui n'ont pas été mis à jour au moins vers la version 25.0 permettent aux attaquants d'exploiter à distance une assertion dans la logique logicielle gérant les messages « blocktxn ». Notamment, cette vulnérabilité offre un avantage économique minime aux attaquants ordinaires.

Le problème provient du protocole de bloc compact du Core, qui utilise des identifiants de transaction raccourcis pour réduire l'utilisation de la bande passante Internet. Les attaquants peuvent déclencher des conflits au sein de ces identifiants, ce qui amène les nœuds à demander un bloc complet. Bien que la demande d'un bloc complet et non abrégé soit une mesure de sécurité, les versions logicielles antérieures à la version 25.0 présentent une faille dans la logique de gestion des messages blocktxn suivants. En substance, les attaquants peuvent manipuler les portes logiques pour forcer les nœuds à passer dans un état non valide, ce qui entraîne un crash complet du nœud.

Niklas Gögge a découvert et divulgué la vulnérabilité, en fournissant un correctif déployé dans Bitcoin Core v25.0. Il a résolu le problème dans la demande d'extraction numéro 26898 de Bitcoin Core, et d'autres développeurs l'ont intégré à la production le 26 mai 2023. Selon BitNodes.io, 13,7 % des 18 843 nœuds exécutant le réseau Bitcoin sont vulnérables à cette attaque. Les développeurs exhortent tous les opérateurs de nœuds à mettre à jour leur logiciel pour corriger cette vulnérabilité. La dernière version du logiciel Bitcoin Core est la 28.0.