Selon Odaily, les développeurs de Bitcoin ont révélé une importante vulnérabilité logicielle. Les développeurs expérimentés de Core ont signalé que plus de 13 % des ordinateurs domestiques et professionnels exécutant des règles Bitcoin sont vulnérables aux attaques par arrêt à distance. La vulnérabilité, identifiée comme CVE-2024-35202, affecte les nœuds Bitcoin fonctionnant avec des versions de Core antérieures à la version 25.0. Les nœuds qui n'ont pas été mis à jour vers la version 25.0 permettent aux attaquants d'exploiter à distance une assertion dans la logique logicielle gérant les messages « blocktxn ». Il est à noter que cette vulnérabilité offre un avantage économique minime aux attaquants ordinaires.
Le problème provient du protocole de blocs compacts du Core, qui utilise des identifiants de transaction raccourcis pour réduire la consommation de bande passante Internet. Les attaquants peuvent déclencher des conflits au sein de ces identifiants, obligeant les nœuds à demander un bloc complet. Bien que la demande d'un bloc complet et non abrégé soit une mesure de sécurité, les versions logicielles antérieures à la version 25.0 présentent une faille dans la logique de gestion des messages blocktxn suivants. En résumé, les attaquants peuvent manipuler les portes logiques pour forcer les nœuds à passer dans un état invalide, entraînant ainsi leur plantage complet.
Niklas Gögge a découvert et divulgué la vulnérabilité, fournissant un correctif déployé dans Bitcoin Core v25.0. Il a corrigé le problème dans la pull request numéro 26898 de Bitcoin Core, et d'autres développeurs l'ont intégré à la production avant le 26 mai 2023. Selon BitNodes.io, 13,7 % des 18 843 nœuds du réseau Bitcoin sont vulnérables à cette attaque. Les développeurs exhortent tous les opérateurs de nœuds à mettre à jour leurs logiciels pour corriger cette vulnérabilité. La dernière version du logiciel Bitcoin Core est la 28.0.
