Odaily によると、ビットコイン開発者は重大なソフトウェア脆弱性の詳細を公開した。上級 Core 開発者は、ビットコイン ルールを実行している家庭用および商用コンピューターの 13% 以上がリモート シャットダウン攻撃の影響を受けると報告した。CVE-2024-35202 として識別されるこの脆弱性は、Core ソフトウェア バージョン 25.0 より前のバージョンで動作するビットコイン ノードに影響する。少なくともバージョン 25.0 に更新されていないノードでは、攻撃者が「blocktxn」メッセージを処理するソフトウェア ロジックのアサーションをリモートで悪用できる。注目すべきは、この脆弱性が一般の攻撃者に与える経済的利益は最小限であることだ。

この問題は、インターネット帯域幅の使用を減らすために短縮されたトランザクション識別子を使用する Core のコンパクト ブロック プロトコルに起因しています。攻撃者はこれらの識別子内で競合を引き起こし、ノードに完全なブロックを要求させることができます。完全で短縮されていないブロックを要求するのは安全策ですが、25.0 より前のソフトウェア バージョンでは、後続の blocktxn メッセージを処理するロジックに欠陥があります。つまり、攻撃者はロジック ゲートを操作してノードを無効な状態に強制し、ノードを完全にクラッシュさせることができます。

Niklas Gögge 氏がこの脆弱性を発見して公開し、Bitcoin Core v25.0 にパッチを適用しました。同氏は Bitcoin Core のプルリクエスト番号 26898 でこの問題に対処し、他の開発者が 2023 年 5 月 26 日までにこれを本番環境に統合しました。BitNodes.io によると、Bitcoin ネットワークを実行している 18,843 ノードのうち 13.7% がこの攻撃に対して脆弱です。開発者は、すべてのノード オペレーターにソフトウェアを更新してこの脆弱性を修正するよう促しています。Bitcoin Core ソフトウェアの最新バージョンは 28.0 です。