Secondo PANews, gli sviluppatori di Bitcoin Core hanno emesso un avviso di severità elevata, rivelando che uno su sei nodi Bitcoin presenta una vulnerabilità software. Giovedì, il progetto open source Bitcoin Core, che mantiene il software in esecuzione su oltre il 98% dei nodi completi raggiungibili, ha rivelato un problema di sicurezza significativo che interessa il software sul 17% dei nodi della rete. Nello specifico, tutte le versioni software inferiori a Bitcoin Core 24.0.1 sono a rischio. Il monitoraggio di Bitnodes stima che questa vulnerabilità di negazione del servizio abbia un impatto su circa 3.330 dei 19.200 user agent dei nodi completi Bitcoin accessibili.
Nelle versioni software di Bitcoin Core precedenti alla 24.0.1, gli autori di attacchi malevoli potevano inviare spam ai nodi utilizzando una catena di header a bassa difficoltà. Costringendo i nodi a scaricare e archiviare una catena di header eccessivamente lunga, l'attacco poteva causare il crash dei nodi consumando troppa larghezza di banda o spazio di archiviazione del dispositivo. Gli sviluppatori hanno affrontato questa vulnerabilità nella richiesta pull (PR) di Bitcoin Core numero 25717 e hanno unito la correzione in produzione con il rilascio della versione 24.0.1 il 12 dicembre 2022. L'attuale versione software del nodo Bitcoin Core (ora 27.1) include correzioni per questa e altre vulnerabilità.
Sebbene questa vulnerabilità sia piuttosto grave, sono pochi i casi noti in cui è stata sfruttata nel registro pubblico. L'elevato costo di generazione e trasmissione di catene di intestazioni di blocco per eseguire un attacco denial-of-service lo rende economicamente non fattibile per la maggior parte degli aggressori. Tuttavia, rimane una falla di sicurezza che potrebbe essere sfruttata da entità estremamente ricche, potenti o tecnicamente qualificate, come uno stato nazionale, che potrebbero mirare a interrompere le operazioni Bitcoin per motivi non finanziari o di ritardo finanziario. All'inizio di giugno, gli sviluppatori hanno accettato di divulgare gravi vulnerabilità nel software Bitcoin Core che era stato patchato per almeno 18 mesi. Inizialmente, hanno divulgato vulnerabilità nelle versioni 20 e precedenti. Ogni poche settimane, continuano a rivelare altre vulnerabilità software. A meno che gli operatori dei nodi Bitcoin non aggiornino il loro software, fino al 17% dei nodi della rete potrebbe essere a rischio di attacchi denial-of-service.
