Команда фахівців Bitcoin Core виправила помилку, пов'язану з безпекою пам'яті. Значна частина вузлів досі працює з вразливим програмним забезпеченням.
Помилки виявив дослідник Корі Філдс і повідомив про неї 2 листопада 2024 року.
За кілька днів програміст Пітер Вуйле випустив прихований патч: щоб не привертати увагу зловмисників, патч вийшов під нейтральною назвою як чергове поліпшення налагодження паралельної перевірки скриптів.
Виправлення увійшло до кодової бази у грудні 2024 і потрапило до релізу Bitcoin Core 29.0 у квітні 2025 року. Остання вразлива гілка 28.x досягла кінця свого життєвого циклу 19 квітня 2026 року – тільки після цього розробники розкрили деталі.
У Bitcoin Core підкреслили: вразливість не торкалася консенсусних правил блокчейну і стосувалася виключно локальної обробки пам'яті в програмному забезпеченні вузлів.
Вразливість була першою в історії Bitcoin Core помилкою безпеки пам'яті (memory safety bug). За певних умов майнер міг створити спеціально сконструйований невалідний блок, який аварійно завершував роботу ноди жертви під час паралельної перевірки скриптів.
Теоретично проблема також відкривала шлях до віддаленого виконання коду (remote code execution) у момент некоректного стану пам'яті. У Bitcoin Core назвали такий сценарій малоймовірним через обмеження формату блоків, але оцінили ризик як високий.
Атаку стримував простий економічний чинник: для експлуатації вразливості зловмисник витрачав би реальний хешрейт на майнінг невалідних блоків без отримання нагород.
Розробники виправили баг, але значна частина мережі поки що не оновилася. За даними Clark Moody, близько 43% біткоін-нод досі працюють на клієнтах більш ранніх версій.
Нагадаємо, у квітні програмісти провели демонстрацію вразливостей консенсусу біткоїну.