За повідомленням Protos від 5 травня, розробники Bitcoin Core на офіційному сайті оприлюднили критично небезпечну вразливість CVE-2024-52911. Вона дозволяє майнерам за допомогою видобутку спеціально підготовлених блоків спричиняти віддалене падіння вузлів інших користувачів і за певних умов виконувати код. Оскільки всі повні вузли Bitcoin перейшли на добровільне оновлення, наразі оцінюється, що приблизно 43% вузлів усе ще працюють зі застарілими версіями програмного забезпечення, які містять уразливість.
Технічні деталі вразливості
За даними офіційного оголошення Bitcoin Core та повідомлення Protos від 5 травня, CVE-2024-52911 — це вразливість безпеки пам’яті типу «використання після звільнення» (Use-After-Free), яка міститься в механізмі паралельної валідації скриптів у Bitcoin Core. Під час перевірки блоку Bitcoin Core попередньо обчислює й кешує дані входів транзакцій, а роботу з валідації скриптів розподіляє у фоновий потік. Якщо фоновий потік під час виконання скриптів читає дані кешу, які вже було знищено CScriptCheck, може статися віддалене виконання коду.
Розробник Bitcoin Core Ніклас Ґьоґґе зазначив, що це перша вразливість із проблемою безпеки пам’яті в історії Bitcoin Core. Офіційне оголошення Bitcoin Core підтверджує, що консенсусні правила біткоїна не змінювалися через виправлення цієї вразливості.
За повідомленням Protos, для атаки майнеру потрібно спрямувати значну частину обчислювальної потужності на майнінг недійсних блоків, за який неможливо отримати винагороду за блок. Вартість атаки надзвичайно висока; тому офіційне оголошення Bitcoin Core вважає, що в історії ця вразливість, імовірно, ніколи не була використана на практиці.
Графік відповідального розкриття
За даними офіційного оголошення Bitcoin Core та повідомлення Protos від 5 травня, таймлайн розкриття CVE-2024-52911 такий:
Листопад 2024 року: розробник Cory Fields виявив уразливість і повідомив про неї приватно
Листопад 2024 року (через чотири дні після виявлення): Pieter Wuille подав виправлення PR #31112
Грудень 2024 року: PR #31112 об’єднано з production-середовищем
Квітень 2025 року: опубліковано Bitcoin Core v29.0, що містить виправлення
19 квітня 2026 року: припинено підтримку останньої лінійки версій із вразливістю (28.x)
5 травня 2026 року: Bitcoin Core на офіційному сайті публічно розкриває цю вразливість
Поточний стан виправлення
За повідомленням Protos від 5 травня, оскільки повні вузли біткоїна перейшли на добровільне оновлення й оновлення не виконуються автоматично, оцінюється, що приблизно 43% вузлів біткоїна все ще працюють із уразливими версіями, випущеними до v29.0. Bitcoin Core рекомендує операторам вузлів оновитися до v29.0 або новішої версії.
Поширені запитання
Який вплив має CVE-2024-52911 на вузли біткоїна?
Згідно з офіційним оголошенням Bitcoin Core, CVE-2024-52911 дає майнеру змогу шляхом майнінгу спеціально підготовлених блоків спричиняти віддалене падіння вузлів Bitcoin Core версій 0.14.1–28.4 і за певних умов виконувати віддалений код; консенсусні правила біткоїна не змінювалися через виправлення цієї вразливості.
Як мають діяти оператори вузлів у відповідь на CVE-2024-52911?
Версії, на які впливає CVE-2024-52911, — це Bitcoin Core 0.14.1–28.4. Операторам вузлів слід оновитися до v29.0 або новішої версії. Остання вразлива версія в гілці 28.x припинила обслуговування 19 квітня 2026 року.
Чи використовувалася CVE-2024-52911 на практиці?
Згідно з офіційним оголошенням Bitcoin Core та повідомленням Protos від 5 травня, для атаки майнеру потрібно спрямувати значну частину обчислювальної потужності на майнінг недійсних блоків, за які неможливо отримати винагороду за блок. Вартість атаки надзвичайно висока; Bitcoin Core вважає, що в історії ця вразливість, імовірно, ніколи не була використана на практиці.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Чи завершився ведмежий ринок для біткоїна? 10x Research: ті, хто зайняв позицію раніше, вже випередили на 10% за прибутком
10x Research зазначає, що ті, хто раніше розпочав розбудову позицій у Bitcoin, уже отримали близько 10% прибутку; торговельні обсяги на ринку залишаються млявими, а настрої очікування та на зниження все ще переважають. Відкритий інтерес відновлюється, але ставка фінансування становить -6,1%, що вказує на те, що значна частина коштів зміщується в бік коротких позицій, натякаючи на можливий розворот ринку. Дослідження вважає, що новий бичачий ринок часто тихо стартує, доки більшість людей ще перебуває в очікуванні, і наголошує на необхідності суворого контролю ризиків та хеджування.
ChainNewsAbmedia32хв. тому
BTC опускається нижче $77,472, великі ліквідації Long на основних CEX досягають $2,189 млрд 6 травня
За даними Coinglass, якщо BTC впаде нижче $77,472, сукупні довгі ліквідації на провідних централізованих біржах досягнуть $2,189 мільярда станом на 6 травня. Натомість, якщо BTC проб’є рівень $84,954, сукупні короткі ліквідації досягнуть $1,948 мільярда.
GateNews1год тому
CME Group запустить ф’ючерси на волатильність Bitcoin 1 червня
CME Group запустить готовані грошовим розрахунком ф’ючерси на біткоїн-волатильність, починаючи з 1 червня, за умови регуляторного погодження. Контракти, торгуватимуться під тикером BVI, дозволять трейдерам хеджувати та спекулювати на волатильності біткоїна напряму, не роблячи ставки на напрям цінового руху. Ф’ючерси розраховуватимуться за правилами CME
GateNews2год тому
Кит відкрив довгу позицію на 750 BTC із плечем 10x 30 квітня, здобувши прибуток $3,8 млн до 6 травня
За Hyperinsight, кит за адресою 0x66f відкрив 30 квітня довгу позицію з 10-кратним кредитним плечем на 750 BTC на суму $60,8 мільйона напередодні свята Labor Day. До 6 травня позиція принесла понад $3,8 мільйона в нереалізованих прибутках, що відповідає 63% рентабельності. Наразі адреса є найбільшою довгою
GateNews2год тому
K Wave Media перенаправляє $485M біткоїн-план на інфраструктуру для ШІ
K Wave Media, корейська медіа- та розважальна компанія, котра котирується на Nasdaq, оголосила, що перенаправить до 485 мільйонів доларів із запланованої стратегії біткоїн-казначейства на інфраструктуру ШІ, зокрема ЦОДи, обчислення на GPU та придбання, повідомляє CoinDesk. Цей крок вносить зміни в план на 500 мільйонів
CryptoFrontier2год тому
Трейдер «pension-usdt.eth» стикається з $18M у нереалізованих збитках на BTC-шортах як найбільша адреса збитків Hyperliquid
За даними BlockBeats із посиланням на Hyperinsight, 6 травня трейдер «pension-usdt.eth» накопичив 18 мільйонів доларів у нереалізованих збитках на Hyperliquid після того, як понад 35 днів тримав короткі позиції за BTC на тлі ралі біткоїна вище $81 000. Наразі ця адреса є найбільшим «генератором збитків» на платформі за останні 7
GateNews2год тому
