Як повідомляє Odaily, розробники Bitcoin розкрили подробиці значної вразливості програмного забезпечення. Старші розробники Core повідомили, що понад 13% домашніх і комерційних комп’ютерів, на яких працюють правила Bitcoin, сприйнятливі до атак віддаленого завершення роботи. Уразливість, ідентифікована як CVE-2024-35202, впливає на вузли Bitcoin, що працюють на версіях програмного забезпечення Core до 25.0. Вузли, які не були оновлені принаймні до версії 25.0, дозволяють зловмисникам віддалено використовувати твердження в програмній логіці обробки повідомлень 'blocktxn'. Примітно, що ця вразливість пропонує мінімальну економічну вигоду звичайним зловмисникам.
Проблема виникає через протокол компактних блоків Core, який використовує скорочені ідентифікатори транзакцій для зменшення використання пропускної здатності Інтернету. Зловмисники можуть викликати конфлікти в межах цих ідентифікаторів, змушуючи вузли запитувати повний блок. Хоча запит повного, нескороченого блоку є заходом безпеки, версії програмного забезпечення до версії 25.0 мають недолік у логіці обробки наступних повідомлень blocktxn. По суті, зловмисники можуть маніпулювати логічними вентилями, щоб примусово перевести вузли в недійсний стан, що призводить до повного збою вузла.
Ніклас Гьогге виявив і розкрив уразливість, надавши патч, розгорнутий у Bitcoin Core версії 25.0. Він вирішив проблему в запиті на оновлення Bitcoin Core номер 26898, а інші розробники об'єднали його з продакшеном до 26 травня 2023 року. За даними BitNodes.io, 13,7% з 18 843 вузлів, що працюють у мережі Bitcoin, вразливі до цієї атаки. Розробники закликають усіх операторів вузлів оновити своє програмне забезпечення, щоб виправити цю вразливість. Остання версія програмного забезпечення Bitcoin Core — 28.0.
