漏洞存在時(shí)間較長(zhǎng)，遭執(zhí)行修復(fù)程序于2025年4月隨Bitcoin Core 29.0版正式發(fā)布。揭露

該P(yáng)R在2024年12月獲得技術(shù)共識(shí)并合并，存史幣安交易所注冊(cè)官方避免打草驚蛇。上首加上區(qū)塊資料本身的個(gè)?限制，約有43%的內(nèi)存Bitcoin Core節(jié)點(diǎn)仍在執(zhí)行含有此漏洞的舊版軟件。雖然攻擊原理并不復(fù)雜，安全

Bitcoin的漏洞共識(shí)規(guī)則未受此漏洞修復(fù)影響。官方強(qiáng)調(diào)，礦工可遠(yuǎn)潰節(jié)然后將指令碼驗(yàn)證工作分派給背景執(zhí)行緒。端崩點(diǎn)并代碼這意味著每分鐘都在損失可觀的遭執(zhí)行電費(fèi)與機(jī)會(huì)成本。最后一個(gè)存在漏洞的揭露版本線28.x已于2026年4月19日終止支持(EOL)。但未提供具體發(fā)生案例。存史幣安交易所注冊(cè)官方

Bitcoin Core開發(fā)者Niklas G?gge在X平臺(tái)上表示：「我們發(fā)布Bitcoin Core安全公告約兩年來(lái)，上首導(dǎo)致Use-After-Free漏洞遭利用。個(gè)?甚至遠(yuǎn)端執(zhí)行代碼。刻意以平淡的維護(hù)性更新包裝，(就我所知)剛剛揭露了第一個(gè)?內(nèi)存安全性問題：驗(yàn)證引擎中的Use-After-Free。Bitcoin Core會(huì)預(yù)先計(jì)算并快取交易輸入資料，攻擊者必須是一名礦工，Bitcoin Core終于在本周公開揭露此漏洞細(xì)節(jié)。在節(jié)點(diǎn)營(yíng)運(yùn)者有充分時(shí)間升級(jí)后，且需要將大量算力投入挖掘無(wú)法獲得區(qū)塊獎(jiǎng)勵(lì)的特殊無(wú)效區(qū)塊，

哈魚礦工 可盈可樂 CoreWeave Bitcoin Swan Bitcoin節(jié)點(diǎn)可能在?內(nèi)存中已釋放的資料被另一程序清除后，存在于驗(yàn)證引擎中，

負(fù)責(zé)任揭露歷程：低調(diào)修補(bǔ)歷時(shí)一年半

Cory Fields早在2024年11月就私下偵測(cè)并回報(bào)此漏洞。Bitcoin Core開發(fā)者Pieter Wuille以PR31112提交修復(fù)方案，」

值得注意的是，由于攻擊成本極高、修復(fù)方案已包含在Bitcoin Core v29及后續(xù)版本。在區(qū)塊驗(yàn)證過程中，

幣圈子(120BTC.COm)訊：Bitcoin Core開發(fā)團(tuán)隊(duì)近日披露了一項(xiàng)編號(hào)為CVE-2024-52911的高危漏洞，遠(yuǎn)端崩潰其他使用者的全節(jié)點(diǎn)，歷史上不太可能已有礦工大規(guī)模利用此漏洞進(jìn)行攻擊。根據(jù)Bitcoin Core官方公告，軟件更新并非自動(dòng)進(jìn)行，標(biāo)題僅寫著「Improve parallel script validation error debug logging」，根據(jù)業(yè)界估算，感謝DCI的Cory Fields發(fā)現(xiàn)并回報(bào)。該漏洞存在于節(jié)點(diǎn)軟件的?內(nèi)存檢查機(jī)制中，若遭受CVE-2024-52911攻擊，

由于Bitcoin Core節(jié)點(diǎn)升級(jí)屬于自愿行為、但要發(fā)動(dòng)攻擊的成本極其高昂。由開發(fā)者Cory Fields于2024年11月發(fā)現(xiàn)并負(fù)責(zé)任地揭露。允許礦工透過挖掘特制區(qū)塊，四天后，

攻擊機(jī)制：成本極高但原理簡(jiǎn)單

該漏洞影響B(tài)itcoin Core 0.14.1至28.4版本，仍持續(xù)讀取已快取的?內(nèi)存內(nèi)容，

Bitcoin Core開發(fā)者：首次?內(nèi)存安全性漏洞

Bitcoin Core在公告中承認(rèn)遠(yuǎn)端代碼執(zhí)行(RCE)理論上可行，該漏洞屬于Use-After-Free(釋放后使用)型別，這也是Bitcoin Core有史以來(lái)首次公開的?內(nèi)存安全性問題。相當(dāng)一部分網(wǎng)絡(luò)節(jié)點(diǎn)仍未升級(jí)至v29或以上版本。