По данным Odaily, разработчики Bitcoin раскрыли подробности о существенной уязвимости программного обеспечения. Старшие разработчики Core сообщили, что более 13% домашних и коммерческих компьютеров, на которых запущены правила Bitcoin, подвержены атакам удаленного выключения. Уязвимость, обозначенная как CVE-2024-35202, затрагивает узлы Bitcoin, работающие на версиях программного обеспечения Core до 25.0. Узлы, которые не были обновлены как минимум до версии 25.0, позволяют злоумышленникам удаленно эксплуатировать утверждение в логике программного обеспечения, обрабатывающего сообщения «blocktxn». Примечательно, что эта уязвимость дает минимальным экономическим выгодам для обычных злоумышленников.

Проблема возникает из-за компактного блочного протокола Core, который использует сокращенные идентификаторы транзакций для снижения использования пропускной способности интернета. Злоумышленники могут инициировать конфликты в этих идентификаторах, заставляя узлы запрашивать полный блок. Хотя запрос полного, несокращенного блока является мерой предосторожности, версии программного обеспечения до 25.0 имеют изъян в логике обработки последующих сообщений blocktxn. По сути, злоумышленники могут манипулировать логическими вентилями, чтобы принудительно переводить узлы в недопустимое состояние, что приводит к полному краху узла.

Никлас Гёгге обнаружил и раскрыл уязвимость, предоставив исправление, развернутое в Bitcoin Core v25.0. Он устранил проблему в запросе на извлечение Bitcoin Core номер 26898, и другие разработчики объединили его в производство к 26 мая 2023 года. По данным BitNodes.io, 13,7% из 18 843 узлов, работающих в сети Bitcoin, уязвимы для этой атаки. Разработчики призывают всех операторов узлов обновить свое программное обеспечение, чтобы исправить эту уязвимость. Последняя версия программного обеспечения Bitcoin Core — 28.0.