За повідомленням Protos від 5 травня, розробники Bitcoin Core на офіційному сайті оприлюднили критично небезпечну вразливість CVE-2024-52911. Вона дозволяє майнерам за допомогою видобутку спеціально підготовлених блоків спричиняти віддалене падіння вузлів інших користувачів і за певних умов виконувати код. Оскільки всі повні вузли Bitcoin перейшли на добровільне оновлення, наразі оцінюється, що приблизно 43% вузлів усе ще працюють зі застарілими версіями програмного забезпечення, які містять уразливість.
Технічні деталі вразливості
За даними офіційного оголошення Bitcoin Core та повідомлення Protos від 5 травня, CVE-2024-52911 — це вразливість безпеки пам’яті типу «використання після звільнення» (Use-After-Free), яка міститься в механізмі паралельної валідації скриптів у Bitcoin Core. Під час перевірки блоку Bitcoin Core попередньо обчислює й кешує дані входів транзакцій, а роботу з валідації скриптів розподіляє у фоновий потік. Якщо фоновий потік під час виконання скриптів читає дані кешу, які вже було знищено CScriptCheck, може статися віддалене виконання коду.
Розробник Bitcoin Core Ніклас Ґьоґґе зазначив, що це перша вразливість із проблемою безпеки пам’яті в історії Bitcoin Core. Офіційне оголошення Bitcoin Core підтверджує, що консенсусні правила біткоїна не змінювалися через виправлення цієї вразливості.
За повідомленням Protos, для атаки майнеру потрібно спрямувати значну частину обчислювальної потужності на майнінг недійсних блоків, за який неможливо отримати винагороду за блок. Вартість атаки надзвичайно висока; тому офіційне оголошення Bitcoin Core вважає, що в історії ця вразливість, імовірно, ніколи не була використана на практиці.
Графік відповідального розкриття
За даними офіційного оголошення Bitcoin Core та повідомлення Protos від 5 травня, таймлайн розкриття CVE-2024-52911 такий:
Листопад 2024 року: розробник Cory Fields виявив уразливість і повідомив про неї приватно
Листопад 2024 року (через чотири дні після виявлення): Pieter Wuille подав виправлення PR #31112
Грудень 2024 року: PR #31112 об’єднано з production-середовищем
Квітень 2025 року: опубліковано Bitcoin Core v29.0, що містить виправлення
19 квітня 2026 року: припинено підтримку останньої лінійки версій із вразливістю (28.x)
5 травня 2026 року: Bitcoin Core на офіційному сайті публічно розкриває цю вразливість
Поточний стан виправлення
За повідомленням Protos від 5 травня, оскільки повні вузли біткоїна перейшли на добровільне оновлення й оновлення не виконуються автоматично, оцінюється, що приблизно 43% вузлів біткоїна все ще працюють із уразливими версіями, випущеними до v29.0. Bitcoin Core рекомендує операторам вузлів оновитися до v29.0 або новішої версії.
Поширені запитання
Який вплив має CVE-2024-52911 на вузли біткоїна?
Згідно з офіційним оголошенням Bitcoin Core, CVE-2024-52911 дає майнеру змогу шляхом майнінгу спеціально підготовлених блоків спричиняти віддалене падіння вузлів Bitcoin Core версій 0.14.1–28.4 і за певних умов виконувати віддалений код; консенсусні правила біткоїна не змінювалися через виправлення цієї вразливості.
Як мають діяти оператори вузлів у відповідь на CVE-2024-52911?
Версії, на які впливає CVE-2024-52911, — це Bitcoin Core 0.14.1–28.4. Операторам вузлів слід оновитися до v29.0 або новішої версії. Остання вразлива версія в гілці 28.x припинила обслуговування 19 квітня 2026 року.
Чи використовувалася CVE-2024-52911 на практиці?
Згідно з офіційним оголошенням Bitcoin Core та повідомленням Protos від 5 травня, для атаки майнеру потрібно спрямувати значну частину обчислювальної потужності на майнінг недійсних блоків, за які неможливо отримати винагороду за блок. Вартість атаки надзвичайно висока; Bitcoin Core вважає, що в історії ця вразливість, імовірно, ніколи не була використана на практиці.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
CME Group запустить ф’ючерси на волатильність Bitcoin 1 червня
CME Group запустить готовані грошовим розрахунком ф’ючерси на біткоїн-волатильність, починаючи з 1 червня, за умови регуляторного погодження. Контракти, торгуватимуться під тикером BVI, дозволять трейдерам хеджувати та спекулювати на волатильності біткоїна напряму, не роблячи ставки на напрям цінового руху. Ф’ючерси розраховуватимуться за правилами CME
GateNews40хв. тому
Кит відкрив довгу позицію на 750 BTC із плечем 10x 30 квітня, здобувши прибуток $3,8 млн до 6 травня
За Hyperinsight, кит за адресою 0x66f відкрив 30 квітня довгу позицію з 10-кратним кредитним плечем на 750 BTC на суму $60,8 мільйона напередодні свята Labor Day. До 6 травня позиція принесла понад $3,8 мільйона в нереалізованих прибутках, що відповідає 63% рентабельності. Наразі адреса є найбільшою довгою
GateNews47хв. тому
K Wave Media перенаправляє $485M біткоїн-план на інфраструктуру для ШІ
K Wave Media, корейська медіа- та розважальна компанія, котра котирується на Nasdaq, оголосила, що перенаправить до 485 мільйонів доларів із запланованої стратегії біткоїн-казначейства на інфраструктуру ШІ, зокрема ЦОДи, обчислення на GPU та придбання, повідомляє CoinDesk. Цей крок вносить зміни в план на 500 мільйонів
CryptoFrontier55хв. тому
Трейдер «pension-usdt.eth» стикається з $18M у нереалізованих збитках на BTC-шортах як найбільша адреса збитків Hyperliquid
За даними BlockBeats із посиланням на Hyperinsight, 6 травня трейдер «pension-usdt.eth» накопичив 18 мільйонів доларів у нереалізованих збитках на Hyperliquid після того, як понад 35 днів тримав короткі позиції за BTC на тлі ралі біткоїна вище $81 000. Наразі ця адреса є найбільшим «генератором збитків» на платформі за останні 7
GateNews1год тому
10x Research стає оптимістично налаштованою щодо Bitcoin, сигналізує про перший бичачий ринок станом на травень 2026 року
Згідно з 10x Research, Bitcoin запустив свій перший бичачий ринковий сигнал станом на травень 2026 року, а дослідницька компанія стала оптимістичною місяць тому. Фірма зазначила, що Bitcoin показав два послідовні місяці позитивної дохідності, тоді як припливи в ETF прискорилися. Попри низькі торгові обсяги та p
GateNews1год тому
Трейдер вніс 499 900 USDC на HyperLiquid, сьогодні відкрив коротку позицію на 250 BTC з кредитним плечем 40x
Згідно Lookonchain, трейдер 0x128e поповнив HyperLiquid на 499 900 USDC і сьогодні (6 травня) відкрив коротку позицію на 250 BTC з плечем 40x. Її вартість — приблизно 20,32 мільйона доларів, а ціна ліквідації
GateNews1год тому
