Согласно Odaily, разработчики Bitcoin раскрыли подробности значительной уязвимости программного обеспечения. Старшие разработчики Core сообщили, что более 13% домашних и коммерческих компьютеров, работающих по правилам Bitcoin, подвержены атакам удаленного отключения. Уязвимость, обозначенная как CVE-2024-35202, затрагивает узлы Bitcoin, работающие на версиях программного обеспечения Core до 25.0. Узлы, которые не были обновлены до как минимум версии 25.0, позволяют злоумышленникам удаленно использовать утверждение в логике программного обеспечения, обрабатывающей сообщения 'blocktxn'. Примечательно, что эта уязвимость приносит минимальную экономическую выгоду обычным злоумышленникам.
Проблема возникает из компактного блок-протокола Core, который использует сокращенные идентификаторы транзакций для снижения использования интернет-канала. Злоумышленники могут вызвать конфликты в этих идентификаторах, заставляя узлы запрашивать полный блок. Хотя запрос полного, не сокращенного блока является мерой безопасности, версии программного обеспечения до 25.0 имеют недостаток в логике обработки последующих сообщений blocktxn. По сути, злоумышленники могут манипулировать логическими воротами, заставляя узлы находиться в недопустимом состоянии, что приводит к полной остановке узла.
Никлас Гёгге обнаружил и раскрыл уязвимость, предоставив патч, развернутый в Bitcoin Core v25.0. Он адресовал проблему в запросе на слияние Bitcoin Core под номером 26898, и другие разработчики объединили его в производственный код к 26 мая 2023 года. Согласно BitNodes.io, 13,7% из 18,843 узлов, работающих в сети Bitcoin, подвержены этой атаке. Разработчики призывают всех операторов узлов обновить свое программное обеспечение, чтобы устранить эту уязвимость. Последняя версия программного обеспечения Bitcoin Core - 28.0.
