Według Odaily, programiści Bitcoin ujawnili szczegóły istotnej luki w zabezpieczeniach oprogramowania. Starsi programiści Core poinformowali, że ponad 13% komputerów domowych i komercyjnych, na których działają reguły Bitcoin, jest podatnych na ataki zdalnego wyłączania. Luka, zidentyfikowana jako CVE-2024-35202, dotyczy węzłów Bitcoin działających na wersjach oprogramowania Core wcześniejszych niż 25.0. Węzły, które nie zostały zaktualizowane co najmniej do wersji 25.0, umożliwiają atakującym zdalne wykorzystanie asercji w logice oprogramowania obsługującej komunikaty „blocktxn”. Co godne uwagi, ta luka oferuje minimalne korzyści ekonomiczne zwykłym atakującym.
Problem wynika z protokołu bloków kompaktowych Core, który wykorzystuje skrócone identyfikatory transakcji w celu zmniejszenia wykorzystania przepustowości łącza internetowego. Atakujący mogą wywołać konflikty w obrębie tych identyfikatorów, powodując, że węzły żądają pełnego bloku. Chociaż żądanie pełnego, nieskróconego bloku jest środkiem ostrożności, wersje oprogramowania starsze niż 25.0 mają lukę w logice obsługi kolejnych komunikatów blocktxn. W istocie atakujący mogą manipulować bramkami logicznymi, aby wymusić na węzłach przejście w nieprawidłowy stan, co prowadzi do ich całkowitego zawieszenia.
Niklas Gögge odkrył i ujawnił lukę w zabezpieczeniach, dostarczając poprawkę wdrożoną w wersji 25.0 oprogramowania Bitcoin Core. Zajął się tym problemem w żądaniu ściągnięcia Bitcoin Core o numerze 26898, a inni deweloperzy zintegrowali je z systemem produkcyjnym do 26 maja 2023 roku. Według BitNodes.io, 13,7% z 18 843 węzłów obsługujących sieć Bitcoin jest podatnych na ten atak. Deweloperzy apelują do wszystkich operatorów węzłów o aktualizację oprogramowania w celu usunięcia tej luki. Najnowsza wersja oprogramowania Bitcoin Core to 28.0.
