Lỗ hổng trong Bitcoin Core cho phép thợ đào chạy mã trên các node khác, với khoảng 43% node vẫn chưa được vá

Theo Protos, btc-42">bitcoin-btc-42">các nhà phát triển Bitcoin Core gần đây đã công bố một lỗ hổng rủi ro cao mang mã CVE-2024-52911, ảnh hưởng đến các phiên bản từ 0.14.1 đến 28.4, cho phép thợ đào làm sập node của người dùng khác từ xa và thực thi mã bằng cách đào các khối được tạo đặc biệt.

Lỗ hổng này được phát hiện và công bố một cách có trách nhiệm bởi nhà phát triển Cory Fields vào tháng 11 năm 2024. Bản sửa lỗi đã được hợp nhất vào tháng 12 cùng năm và phát hành cùng phiên bản v29 vào tháng 4 năm 2025. Dòng phiên bản 28.x dễ bị tổn thương cuối cùng đã ngừng hỗ trợ vào ngày 19 tháng 4 năm 2026.

Tuy nhiên, vì việc nâng cấp các full node Bitcoin là tự nguyện, ước tính khoảng 43% node vẫn đang chạy phần mềm phiên bản cũ dễ bị tổn thương và phải đối mặt với các rủi ro tiềm ẩn. Rất may, chi phí để thực hiện một cuộc tấn công như vậy là cực kỳ cao—thợ đào sẽ cần phân bổ lượng lớn sức mạnh tính toán để đào các khối không hợp lệ vốn không mang lại phần thưởng block—vì vậy khả năng cao là lỗ hổng này chưa từng bị khai thác trong thực tế.