Selon Protos dans un article du 5 mai, des développeurs de Bitcoin Core ont dévoilé sur le site officiel une vulnérabilité critique, CVE-2024-52911. Celle-ci permet aux mineurs, en extrayant des blocs spécialement conçus, de faire s’effondrer à distance les nœuds d’autres utilisateurs et, dans des conditions précises, d’exécuter du code. Comme la mise à niveau des nœuds complets Bitcoin est désormais un comportement volontaire, on estime encore qu’environ 43 % des nœuds exécutent des anciennes versions logicielles vulnérables.
Détails techniques de la vulnérabilité
D’après l’annonce officielle de Bitcoin Core et l’article de Protos du 5 mai, CVE-2024-52911 est une vulnérabilité de sécurité de la mémoire de type « use-after-free » (libération puis utilisation). Elle se trouve dans le mécanisme de validation des scripts en parallèle de Bitcoin Core. Pendant la validation d’un bloc, Bitcoin Core calcule à l’avance et met en cache les données d’entrée des transactions, puis répartit le travail de validation de scripts vers un thread d’arrière-plan ; lorsque le thread d’arrière-plan lit des données mises en cache qui ont déjà été détruites par CScriptCheck, une exécution de code à distance peut se produire.
Le développeur de Bitcoin Core Niklas Gögge indique qu’il s’agit du premier bug « de sécurité de la mémoire » de l’histoire de Bitcoin Core. L’annonce officielle de Bitcoin Core confirme que les règles de consensus du Bitcoin n’ont pas changé à la suite de la correction de cette vulnérabilité.
D’après Protos, cette attaque exige que le mineur consacre une quantité importante de puissance de calcul à l’extraction de blocs invalides qui ne permettent pas d’obtenir la récompense de bloc ; le coût est donc extrêmement élevé. L’annonce officielle de Bitcoin Core estime ainsi que cette vulnérabilité n’a très probablement jamais été exploitée en pratique dans l’histoire.
Calendrier de divulgation responsable
Selon l’annonce officielle de Bitcoin Core et l’article de Protos du 5 mai, la chronologie de divulgation de CVE-2024-52911 est la suivante :
Novembre 2024 : le développeur Cory Fields découvre la vulnérabilité et la signale en privé
Novembre 2024 (quatre jours après la découverte) : Pieter Wuille soumet une proposition de correctif PR #31112
Décembre 2024 : la PR #31112 est fusionnée dans l’environnement de production
Avril 2025 : Bitcoin Core v29.0 est publié, incluant le correctif
19 avril 2026 : la dernière série de versions encore vulnérable (28.x) cesse d’être maintenue
5 mai 2026 : Bitcoin Core divulgue officiellement cette vulnérabilité sur son site officiel
Statut actuel du correctif
D’après l’article de Protos du 5 mai, comme la mise à niveau des nœuds complets Bitcoin est désormais un comportement volontaire et les mises à jour ne s’exécutent pas automatiquement, on estime qu’environ 43 % des nœuds Bitcoin exécutent encore des versions vulnérables antérieures à v29. Bitcoin Core recommande aux opérateurs de nœuds de passer à v29.0 ou à une version plus récente.
Questions fréquentes
Quel est l’impact de CVE-2024-52911 sur les nœuds Bitcoin ?
D’après l’annonce officielle de Bitcoin Core, CVE-2024-52911 permet aux mineurs, en extrayant des blocs spécialement conçus, de faire s’effondrer à distance des nœuds allant de Bitcoin Core 0.14.1 à 28.4, puis d’exécuter du code à distance dans certaines conditions ; les règles de consensus du Bitcoin n’ont pas changé à la suite de la correction de cette vulnérabilité.
Comment les opérateurs de nœuds devraient-ils réagir à CVE-2024-52911 ?
Les versions affectées par CVE-2024-52911 sont Bitcoin Core 0.14.1 à 28.4. Les opérateurs de nœuds doivent mettre à niveau vers v29.0 ou vers une version plus récente. La dernière version 28.x vulnérable a cessé d’être maintenue le 19 avril 2026.
CVE-2024-52911 a-t-elle déjà été exploitée en pratique ?
D’après l’annonce officielle de Bitcoin Core et l’article de Protos du 5 mai, cette attaque exige que le mineur consacre une quantité importante de puissance de calcul à l’extraction de blocs invalides ne donnant pas de récompense de bloc ; le coût est extrêmement élevé. Bitcoin Core estime ainsi que cette vulnérabilité n’a très probablement jamais été exploitée en pratique dans l’histoire.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La saison baissière du Bitcoin est-elle terminée ? 10x Research : les investisseurs en avance ont déjà 10 % de profit
10x Research indique que les investisseurs qui ont commencé à se positionner sur Bitcoin plus tôt ont déjà réalisé environ 10 % de profit ; les volumes de transactions du marché restent moroses, et l'attentisme ainsi que l'humeur baissière demeurent marqués. Le volume des positions ouvertes se stabilise, mais le taux de financement est de -6,1 %, ce qui suggère que d'importants capitaux se tournent vers les positions courtes, et laisse penser à une éventuelle inversion de tendance. L’étude estime que le nouveau cycle haussier débute souvent discrètement pendant que la majorité des acteurs est encore en attente, et appelle à une gestion stricte des risques et à la couverture.
ChainNewsAbmediaIl y a 32m
BTC chute sous 77 472 dollars, les principales liquidations longues des CEX atteignent 2,189 milliards de dollars le 6 mai
D’après les données de Coinglass, si BTC passe sous 77 472 dollars, les liquidations longues cumulées sur les principales bourses centralisées atteindraient 2,189 milliards de dollars au 6 mai. À l’inverse, si BTC dépasse 84 954 dollars, les liquidations courtes cumulées atteindraient 1,948 milliard de dollars.
GateNewsIl y a 1h
CME Group lancera des futures sur la volatilité du Bitcoin le 1er juin
CME Group lancera des futures sur la volatilité du bitcoin avec règlement en espèces à partir du 1er juin, sous réserve d’approbation réglementaire. Les contrats, négociés sous le ticker BVI, permettront aux traders de se couvrir et de spéculer sur la volatilité du bitcoin directement, sans prendre de pari sur l’orientation du prix. Les futures seront réglés à la CME
GateNewsIl y a 2h
Une baleine ouvre une position longue sur 750 BTC avec un levier de 10x le 30 avril, et réalise un gain de 3,8 millions de dollars d’ici le 6 mai
D'après Hyperinsight, une baleine à l'adresse 0x66f a ouvert, le 30 avril, une position longue avec effet de levier x10 de 750 BTC, d'une valeur de 60,8 millions de dollars, en prévision du jour férié de la fête du Travail. D'ici le 6 mai, la position a généré plus de 3,8 millions de dollars de gains latents, soit un rendement de 63%. L'adresse est désormais la plus grande position longue
GateNewsIl y a 2h
K Wave Media redirige $485M Bitcoin vers une infrastructure d’IA
K Wave Media, une société coréenne de médias et de divertissement cotée au Nasdaq, a annoncé qu’elle allait rediriger jusqu’à 485 millions de dollars d’une stratégie de trésorerie en bitcoin prévue vers une infrastructure d’IA, notamment des centres de données, du calcul GPU et des acquisitions, d’après CoinDesk. Cette opération modifie un montant de 500 millions de dollars
CryptoFrontierIl y a 2h
Le trader 'pension-usdt.eth' fait face à $18M à des pertes latentes sur des positions short BTC, en tant qu’adresse affichant la plus grande perte chez Hyperliquid
D’après BlockBeats en citant Hyperinsight, le 6 mai, le trader « pension-usdt.eth » a accumulé 18 millions de dollars de pertes latentes sur Hyperliquid après avoir conservé des positions vendeuses (short) sur BTC pendant plus de 35 jours, dans le contexte de la hausse de Bitcoin au-dessus de 81 000 $. L’adresse est désormais le plus gros fauteur de pertes de la plateforme sur les 7
GateNewsIl y a 2h
