Bitcoin Core mengungkap bug yang dapat membuat penambang menyebabkan node mengalami crash

Pengembang Bitcoin Core mengungkap bug berkeparahan tinggi yang dapat memungkinkan penambang menjatuhkan beberapa node Bitcoin secara jarak jauh.
Ringkasan

• Bitcoin Core mengungkap CVE-2024-52911, yang memengaruhi versi sebelum 29,0, dengan node-node lama masih terekspos online.
• Penambang membutuhkan blok bukti kerja yang mahal untuk memicu crash, sehingga penyalahgunaan di dunia nyata secara historis tidak mungkin untuk dilakukan penyerang.
• Cory Fields melaporkan bug tersebut secara privat pada 2024, sebelum perangkat lunak yang sudah ditambal oleh Bitcoin Core 29,0 dirilis.

Masalah ini, yang dilacak sebagai CVE-2024-52911, memengaruhi versi Bitcoin Core setelah 0,14,0 dan sebelum 29,0. Bug tersebut diperbaiki di Bitcoin Core 29,0, yang dirilis pada April 2025.

Bitcoin Core mempublikasikan masalah ini pada 5 Mei 2026, setelah lini rilis 28.x yang terakhir rentan mencapai akhir masa pakainya pada 19 April.

Bug memengaruhi validasi blok

Masalah ini melibatkan interpreter skrip Bitcoin Core selama validasi blok. Bitcoin Core mengatakan blok yang dibuat khusus dapat menyebabkan sebuah node mengakses memori setelah data tersebut sudah dibebaskan.

Saat validasi, Bitcoin Core menghitung terlebih dahulu data masukan transaksi dan mengirim pemeriksaan skrip ke thread latar. Dalam beberapa kasus, blok yang tidak valid dapat menghancurkan data cache sementara thread lain masih mencoba membacanya.

Bitcoin Core mengatakan ini dapat memungkinkan penyerang dengan cukup bukti kerja untuk menjatuhkan node korban. Bitcoin Core juga mengatakan “mungkin” crash tersebut dapat mendukung eksekusi kode jarak jauh, meski batasan pada data blok membuat hasil itu “tidak mungkin.”

Serangan memerlukan penambangan yang mahal

Serangan ini tidak mudah dilakukan. Seorang penambang perlu menghasilkan blok yang dibuat khusus dengan cukup bukti kerja untuk mencapai puncak rantai.

Itu membuat serangan menjadi mahal karena blok seperti itu akan tidak valid. Blok tersebut tidak dapat menghasilkan imbalan blok normal, sehingga penyerang harus menghabiskan daya hash tanpa mengumpulkan pembayaran penambangan yang biasa.

Bitcoin Core tidak mengatakan bug tersebut telah digunakan dalam serangan nyata. Penasihat berfokus pada celahnya, perbaikannya, dan kronologi pengungkapannya.

Bug ini tidak mengubah aturan konsensus Bitcoin. Bug ini terkait penanganan memori pada perangkat lunak Bitcoin Core, bukan aturan yang menentukan transaksi atau blok Bitcoin yang valid.

Cory Fields melaporkan celah

Cory Fields dari MIT Digital Currency Initiative melaporkan bug itu secara privat pada 2 Nov. 2024. Bitcoin Core mengatakan laporan tersebut mencakup bukti konsep dan cara yang diusulkan untuk mengurangi risikonya.

Pieter Wuille mendorong perbaikan terselubung empat hari kemudian melalui PR 31112. Permintaan tarik tersebut digabung pada 3 Des. 2024, sebelum Bitcoin Core 29,0 dirilis pada April 2025 dengan perbaikan tersebut.

Penasihat tersebut mengikuti kebijakan pengungkapan Bitcoin Core untuk bug berkeparahan tinggi. Kebijakannya menyatakan isu berkeparahan tinggi diungkap setelah rilis yang terakhir terdampak mencapai akhir masa pakainya.

Selain itu, operator node yang menggunakan versi Bitcoin Core sebelum 29,0 masih menghadapi bug lama. Bitcoin Core tidak melakukan pembaruan otomatis, sehingga pengguna harus memasang versi yang lebih baru secara manual.

Laporan terdahulu tentang risiko desentralisasi blockchain menyinggung riset bahwa 21% node Bitcoin menjalankan perangkat lunak Bitcoin Core yang sudah ketinggalan pada Juni 2021. Konteks ini menunjukkan mengapa versi klien yang lebih lama dapat tetap menjadi perhatian keamanan jauh setelah perbaikan dikirim.