Schwerwiegender Fehler in Bitcoin Core
Die Entwickler von Bitcoin Core haben einen schwerwiegenden Fehler offengelegt, der es Minern ermöglichen könnte, einige Bitcoin-Knoten aus der Ferne zum Absturz zu bringen. Das Problem, das unter der Kennung CVE-2024-52911 geführt wird, betrifft Bitcoin Core-Versionen nach 0.14.0 und vor 29.0. Der Fehler wurde in Bitcoin Core 29.0 behoben, das im April 2025 veröffentlicht wurde. Bitcoin Core machte das Problem am 5. Mai 2026 öffentlich, nachdem die letzte verwundbare 28.x-Version am 19. April das Ende ihrer Lebensdauer erreicht hatte.
Details zum Problem
Das Problem betraf den Skript-Interpreter von Bitcoin Core während der Blockvalidierung. Bitcoin Core erklärte, dass ein speziell gestalteter Block dazu führen könnte, dass ein Knoten auf den Speicher zugreift, nachdem diese Daten bereits freigegeben wurden. Während der Validierung berechnet Bitcoin Core die Transaktions-Eingabedaten im Voraus und sendet Skriptprüfungen an Hintergrundthreads. In einigen Fällen könnte ein ungültiger Block zwischengespeicherte Daten zerstören, während ein anderer Thread weiterhin versucht, darauf zuzugreifen.
Bitcoin Core wies darauf hin, dass dies einem Angreifer mit genügend Proof-of-Work ermöglichen könnte, die Opferknoten zum Absturz zu bringen. Es wurde auch angemerkt, dass „es möglich ist“, dass der Absturz die Ausführung von Code aus der Ferne unterstützen könnte, obwohl Einschränkungen bei den Blockdaten dieses Ergebnis „unwahrscheinlich“ machen.
Angriffsaufwand und Auswirkungen
Der Angriff war jedoch nicht einfach durchzuführen. Ein Miner müsste einen speziell gestalteten Block mit ausreichend Proof-of-Work erzeugen, um die Kettenoberfläche zu erreichen. Dies machte den Angriff kostspielig, da ein solcher Block ungültig wäre und keine normale Blockbelohnung verdienen könnte. Dadurch wäre der Angreifer gezwungen, Hash-Power auszugeben, ohne die übliche Mining-Auszahlung zu erhalten.
Bitcoin Core gab nicht an, dass der Fehler in echten Angriffen ausgenutzt wurde. Die Mitteilung konzentrierte sich auf den Fehler, die Behebung und den Zeitplan der Offenlegung.
Fehlerbehebung und Offenlegung
Der Fehler änderte nicht die Konsensregeln von Bitcoin, sondern war mit der Speicherverwaltung in der Bitcoin Core-Software verbunden, nicht mit den Regeln, die gültige Bitcoin-Transaktionen oder -Blöcke definieren. Cory Fields von der MIT Digital Currency Initiative meldete den Fehler privat am 2. November 2024. Bitcoin Core erklärte, der Bericht enthielt einen Proof of Concept sowie einen vorgeschlagenen Weg zur Risikominderung. Pieter Wuille schob vier Tage später über PR 31112 eine geheime Behebung ein. Der Pull-Request wurde am 3. Dezember 2024 zusammengeführt, bevor Bitcoin Core 29.0 im April 2025 mit der Behebung veröffentlicht wurde.
Offenlegungspolitik und Sicherheitsrisiken
Die Mitteilung folgte der Offenlegungspolitik von Bitcoin Core für schwerwiegende Fehler. Diese Politik besagt, dass schwerwiegende Probleme nach dem Ende der Lebensdauer der letzten betroffenen Version offengelegt werden. Darüber hinaus stehen Knotenbetreiber, die Bitcoin Core-Versionen vor 29.0 verwenden, weiterhin vor dem alten Fehler. Bitcoin Core aktualisiert sich nicht automatisch, sodass Benutzer neuere Versionen manuell installieren müssen.
Ein früherer Bericht über die Risiken der Dezentralisierung von Blockchain verwies auf Forschungen, die ergaben, dass 21 % der Bitcoin-Knoten im Juni 2021 veraltete Bitcoin Core-Software verwendeten. Dieser Kontext verdeutlicht, warum ältere Client-Versionen lange nach der Veröffentlichung von Behebungen ein Sicherheitsproblem darstellen können.
