Bug Critico in Bitcoin Core
Gli sviluppatori di Bitcoin Core hanno recentemente rivelato un bug di alta gravità che potrebbe consentire ai miner di far crashare da remoto alcuni nodi Bitcoin. Il problema, identificato come CVE-2024-52911, ha colpito le versioni di Bitcoin Core dalla 0.14.0 fino alla 28.x. Il bug è stato corretto nella versione 29.0 di Bitcoin Core, rilasciata nell’aprile 2025. Bitcoin Core ha reso pubblico il problema il 5 maggio 2026, dopo che l’ultima versione vulnerabile della serie 28.x ha raggiunto la fine del suo ciclo di vita il 19 aprile.
Dettagli Tecnici del Bug
Il problema riguardava l’interprete di script di Bitcoin Core durante la validazione dei blocchi. Secondo quanto dichiarato, un blocco appositamente progettato potrebbe causare a un nodo di accedere a dati di memoria già liberati. Durante il processo di validazione, Bitcoin Core pre-calcola i dati di input delle transazioni e invia controlli degli script a thread in background. In alcune circostanze, un blocco non valido potrebbe compromettere i dati memorizzati nella cache mentre un altro thread stava ancora cercando di leggerli.
Bitcoin Core ha avvertito che questo potrebbe consentire a un attaccante, con sufficiente proof-of-work, di far crashare i nodi vittima. Inoltre, è stato detto che “è possibile” che il crash possa supportare l’esecuzione di codice remoto, anche se i limiti sui dati del blocco renderebbero tale esito improbabile.
Implicazioni dell’Attacco
L’attacco non era semplice da realizzare: un miner avrebbe dovuto produrre un blocco appositamente progettato con sufficiente proof-of-work per raggiungere la punta della catena. Questo ha reso l’attacco costoso, poiché un tale blocco sarebbe stato considerato non valido e non avrebbe garantito la normale ricompensa per il mining, lasciando l’attaccante a spendere potenza di hash senza ricevere il consueto pagamento.
Bitcoin Core non ha confermato che il bug sia stato sfruttato in attacchi reali. L’avviso si è concentrato sul difetto, sulla correzione e sulla tempistica della divulgazione. È importante notare che il bug non ha modificato le regole di consenso di Bitcoin; era legato alla gestione della memoria nel software di Bitcoin Core, e non alle regole che definiscono transazioni o blocchi Bitcoin validi.
Processo di Segnalazione e Correzione
Cory Fields dell’MIT Digital Currency Initiative ha segnalato privatamente il bug il 2 novembre 2024. Bitcoin Core ha dichiarato che il rapporto includeva una prova di concetto e un metodo proposto per ridurre il rischio. Pieter Wuille ha spinto una correzione riservata quattro giorni dopo attraverso la PR 31112. La richiesta di pull è stata integrata il 3 dicembre 2024, prima che Bitcoin Core 29.0 fosse rilasciato con la correzione nell’aprile 2025.
L’avviso ha seguito la politica di divulgazione di Bitcoin Core per i bug di alta gravità, che stabilisce che i problemi di questo tipo vengono divulgati solo dopo che l’ultimo rilascio interessato ha raggiunto la fine della vita.
Rischi Residui e Aggiornamenti Necessari
Inoltre, gli operatori di nodi che utilizzano versioni di Bitcoin Core precedenti alla 29.0 sono ancora vulnerabili al vecchio bug. Bitcoin Core non si aggiorna automaticamente, quindi gli utenti devono installare manualmente le versioni più recenti. Un rapporto precedente sui rischi di decentralizzazione della blockchain ha citato ricerche secondo cui il 21% dei nodi Bitcoin eseguiva software Bitcoin Core obsoleto a giugno 2021. Questo contesto evidenzia perché le versioni client più vecchie possono continuare a rappresentare una preoccupazione per la sicurezza anche molto tempo dopo il rilascio delle correzioni.
