Według PANews, twórcy Bitcoin Core wydali ostrzeżenie o wysokim stopniu zagrożenia, ujawniając, że jeden na sześć węzłów Bitcoin ma lukę w zabezpieczeniach oprogramowania. W czwartek projekt open-source Bitcoin Core, który utrzymuje oprogramowanie działające na ponad 98% dostępnych pełnych węzłów, ujawnił poważny problem bezpieczeństwa dotyczący oprogramowania na 17% węzłów sieci. Konkretnie, wszystkie wersje oprogramowania poniżej Bitcoin Core 24.0.1 są zagrożone. Monitoring Bitnodes szacuje, że ta luka w zabezpieczeniach typu „odmowa usługi” dotyczy około 3330 z 19 200 dostępnych agentów użytkownika pełnych węzłów Bitcoin.
W wersjach oprogramowania Bitcoin Core wcześniejszych niż 24.0.1 złośliwi aktorzy mogli spamować węzły, używając łańcucha nagłówków o niskim poziomie trudności. Zmuszając węzły do pobierania i przechowywania nadmiernie długiego łańcucha nagłówków, atak mógł spowodować awarię węzłów, zużywając zbyt dużo pasma lub miejsca w pamięci urządzenia. Deweloperzy zajęli się tą luką w żądaniu ściągnięcia (PR) Bitcoin Core o numerze 25717 i połączyli poprawkę z produkcją wraz z wydaniem wersji 24.0.1 12 grudnia 2022 r. Obecna wersja oprogramowania węzła Bitcoin Core (obecnie 27.1) zawiera poprawki tej i innych luk.
Chociaż ta podatność jest dość poważna, w rejestrze publicznym znanych jest niewiele przypadków jej wykorzystania. Wysoki koszt generowania i nadawania łańcuchów nagłówków bloków w celu wykonania ataku typu „odmowa usługi” sprawia, że jest to ekonomicznie niewykonalne dla większości atakujących. Pozostaje to jednak luką w zabezpieczeniach, którą mogą wykorzystać niezwykle bogate, potężne lub technicznie wykwalifikowane podmioty, takie jak państwo narodowe, które mogą chcieć zakłócić działanie Bitcoin z przyczyn niefinansowych lub opóźnień finansowych. Na początku czerwca programiści zgodzili się ujawnić poważne luki w oprogramowaniu Bitcoin Core, które było łatane przez co najmniej 18 miesięcy. Początkowo ujawnili luki w wersjach 20 i niższych. Co kilka tygodni ujawniają kolejne luki w oprogramowaniu. Jeśli operatorzy węzłów Bitcoin nie zaktualizują swojego oprogramowania, do 17% węzłów sieci może być narażonych na ataki typu „odmowa usługi”.