По данным Odaily, разработчики Bitcoin раскрыли подробности о существенной уязвимости программного обеспечения. Старшие разработчики Core сообщили, что более 13% домашних и коммерческих компьютеров, на которых запущены правила Bitcoin, подвержены атакам удаленного выключения. Уязвимость, обозначенная как CVE-2024-35202, затрагивает узлы Bitcoin, работающие на версиях программного обеспечения Core до 25.0. Узлы, которые не были обновлены как минимум до версии 25.0, позволяют злоумышленникам удаленно эксплуатировать утверждение в логике программного обеспечения, обрабатывающего сообщения «blocktxn». Примечательно, что эта уязвимость дает минимальным экономическим выгодам для обычных злоумышленников.

Проблема возникает из-за компактного блочного протокола Core, который использует сокращенные идентификаторы транзакций для снижения использования пропускной способности интернета. Злоумышленники могут инициировать конфликты внутри этих идентификаторов, заставляя узлы запрашивать полный блок. Хотя запрос полного, несокращенного блока является мерой предосторожности, версии программного обеспечения до 25.0 имеют изъян в логике обработки последующих сообщений blocktxn. По сути, злоумышленники могут манипулировать логическими вентилями, чтобы принудительно переводить узлы в недопустимое состояние, что приводит к полному краху узла.

Никлас Гёгге обнаружил и раскрыл уязвимость, предоставив исправление, развернутое в Bitcoin Core v25.0. Он устранил проблему в запросе на извлечение Bitcoin Core номер 26898, и другие разработчики объединили его в производство к 26 мая 2023 года. По данным BitNodes.io, 13,7% из 18 843 узлов, работающих в сети Bitcoin, уязвимы для этой атаки. Разработчики призывают всех операторов узлов обновить свое программное обеспечение, чтобы исправить эту уязвимость. Последняя версия программного обеспечения Bitcoin Core — 28.0.