Theo Protos ngày 5 tháng 5, các nhà phát triển Bitcoin Core đã công khai tiết lộ trên trang web chính thức lỗ hổng mức độ nguy nghiêm trọng CVE-2024-52911, lỗ hổng này cho phép thợ đào thông qua việc đào các khối được chế tạo đặc biệt để làm sập từ xa các nút của người dùng khác và thực thi mã trong những điều kiện nhất định. Do việc nâng cấp toàn bộ nút Bitcoin hiện là hành động tự nguyện, ước tính vẫn còn khoảng 43% số nút đang chạy phiên bản phần mềm cũ có tồn tại lỗ hổng.

Chi tiết kỹ thuật của lỗ hổng

Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, CVE-2024-52911 thuộc nhóm lỗ hổng an toàn bộ nhớ “Use-After-Free” (giải phóng rồi dùng lại), tồn tại trong cơ chế xác thực tập lệnh song song của Bitcoin Core. Trong quá trình xác thực khối, Bitcoin Core sẽ tính toán trước và lưu vào bộ nhớ đệm dữ liệu đầu vào giao dịch, sau đó phân phối công việc xác thực tập lệnh cho các luồng chạy ở hậu trường; khi luồng hậu trường đọc dữ liệu trong bộ nhớ đệm đã bị CScriptCheck hủy, có thể xảy ra thực thi mã từ xa.

Nhà phát triển Bitcoin Core Niklas Gögge cho biết đây là lỗ hổng “vấn đề an toàn bộ nhớ” đầu tiên trong lịch sử của Bitcoin Core. Thông báo chính thức của Bitcoin Core cũng xác nhận các quy tắc đồng thuận của Bitcoin không thay đổi do việc sửa chữa lỗ hổng này.

Theo báo cáo của Protos, để tấn công, thợ đào cần dành một lượng lớn sức mạnh tính toán cho việc đào các khối vô hiệu không thể nhận phần thưởng khối, chi phí cực kỳ đắt đỏ; vì vậy, thông báo chính thức của Bitcoin Core cho rằng trong lịch sử lỗ hổng này rất có thể chưa từng được khai thác thực tế.

Lịch trình công bố có trách nhiệm

Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, mốc thời gian công bố CVE-2024-52911 như sau:

Tháng 11 năm 2024: Nhà phát triển Cory Fields phát hiện lỗ hổng và báo cáo riêng

Tháng 11 năm 2024 (sau khi phát hiện 4 ngày): Pieter Wuille gửi PR bản vá #31112

Tháng 12 năm 2024: PR #31112 được gộp vào môi trường sản xuất

Tháng 4 năm 2025: Bitcoin Core v29.0 phát hành, bao gồm bản vá

19 tháng 4 năm 2026: Dòng phiên bản cuối cùng còn tồn tại lỗ hổng (28.x) ngừng được bảo trì

Ngày 5 tháng 5 năm 2026: Bitcoin Core công khai công bố lỗ hổng này trên trang web chính thức

Tình trạng hiện tại sau khi vá

Theo báo cáo của Protos ngày 5 tháng 5, do việc nâng cấp toàn bộ nút Bitcoin hiện là hành động tự nguyện và việc cập nhật không tự động, ước tính khoảng 43% các nút Bitcoin vẫn đang chạy các phiên bản trước v29 có tồn tại lỗ hổng. Bitcoin Core khuyến nghị các nhà vận hành nút nâng cấp lên v29.0 hoặc phiên bản mới hơn.

Câu hỏi thường gặp

CVE-2024-52911 ảnh hưởng thế nào đến các nút Bitcoin?

Theo thông báo chính thức của Bitcoin Core, CVE-2024-52911 cho phép thợ đào thông qua việc đào các khối được chế tạo đặc biệt để làm sập từ xa các nút chạy Bitcoin Core từ phiên bản 0.14.1 đến 28.4 và thực thi mã từ xa trong những điều kiện nhất định; các quy tắc đồng thuận của Bitcoin không thay đổi do việc sửa chữa lỗ hổng này.

Nhà vận hành nút nên ứng phó với CVE-2024-52911 ra sao?

Các phiên bản bị ảnh hưởng bởi CVE-2024-52911 là Bitcoin Core từ 0.14.1 đến 28.4; do đó, nhà vận hành nút nên nâng cấp lên v29.0 hoặc phiên bản mới hơn. Phiên bản 28.x cuối cùng còn tồn tại lỗ hổng đã ngừng được bảo trì từ ngày 19 tháng 4 năm 2026.

CVE-2024-52911 đã từng được khai thác thực tế chưa?

Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, cuộc tấn công này cần thợ đào dành một lượng lớn sức mạnh tính toán để đào các khối vô hiệu không thể nhận phần thưởng khối, chi phí cực kỳ đắt đỏ; Bitcoin Core cho rằng trong lịch sử lỗ hổng này rất có thể chưa từng được khai thác thực tế.

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.

Bài viết liên quan

Gấu mùa đông Bitcoin đã kết thúc? 10x Research: Người tham gia sớm đã dẫn trước 10% lợi nhuận

bitcoin news Phân tích thị trường Dữ liệu phái sinh

10x Research cho biết những người đã sớm nắm bắt Bitcoin đã thu được lợi nhuận khoảng 10%; khối lượng giao dịch trên thị trường ảm đạm, tâm lý đứng ngoài và bi quan vẫn chiếm ưu thế. Lượng hợp đồng chưa tất toán đã dần ổn định trở lại nhưng funding rate ở mức -6,1%, cho thấy lượng lớn vốn đang nghiêng về lệnh bán khống, ngụ ý khả năng thị trường có thể đảo chiều. Nghiên cứu nhận định thị trường tăng giá mới thường âm thầm bắt đầu khi phần lớn mọi người vẫn còn đang quan sát, đồng thời nhắc nhở quản lý rủi ro chặt chẽ và thực hiện phòng vệ.

ChainNewsAbmedia21phút trước

BTC giảm xuống dưới 77.472 USD, các lệnh Long của các sàn CEX lớn bị thanh lý trị giá 2,189 tỷ USD vào ngày 6/5

bitcoin news Dự đoán giá Dữ liệu phái sinh

Theo dữ liệu của Coinglass, nếu BTC giảm xuống dưới 77.472 USD, các đợt thanh lý mua tích lũy trên các sàn giao dịch tập trung lớn sẽ đạt 2,189 tỷ USD tính đến ngày 6 tháng 5. Ngược lại, nếu BTC vượt lên trên 84.954 USD, các đợt thanh lý bán tích lũy sẽ đạt 1,948 tỷ USD.

GateNews51phút trước

CME Group sẽ ra mắt hợp đồng tương lai biến động Bitcoin vào ngày 1 tháng 6

bitcoin news Dữ liệu phái sinh Chỉ số

CME Group sẽ ra mắt các hợp đồng tương lai về biến động giá bitcoin được thanh toán bằng tiền mặt, bắt đầu từ ngày 1 tháng 6, tùy thuộc vào sự phê duyệt của cơ quan quản lý. Các hợp đồng này, giao dịch dưới mã BVI, sẽ cho phép nhà giao dịch phòng hộ và đầu cơ về biến động giá bitcoin một cách trực tiếp mà không cần đặt cược theo một hướng giá. Các hợp đồng tương lai sẽ được thanh toán theo CME

GateNews1giờ trước

Cá voi mở vị thế Long 750 BTC với đòn bẩy 10x vào ngày 30/4, thu về lợi nhuận 3,8 triệu USD tính đến ngày 6/5

bitcoin news

Theo Hyperinsight, một “whale” tại địa chỉ 0x66f đã mở một vị thế long đòn bẩy 10x trị giá 750 BTC vào ngày 30/4, tương đương 60,8 triệu USD, trước kỳ nghỉ lễ Labor Day. Đến ngày 6/5, vị thế này tạo ra hơn 3,8 triệu USD lợi nhuận chưa thực hiện, tương ứng mức hoàn vốn 63%. Địa chỉ hiện là vị thế long lớn nhất

GateNews2giờ trước

K Wave Media chuyển hướng kế hoạch Bitcoin của $485M sang hạ tầng AI

bitcoin news Tiến độ dự án Token AI

K Wave Media, một công ty truyền thông và giải trí Hàn Quốc niêm yết trên Nasdaq, thông báo sẽ chuyển hướng tối đa 485 triệu đô la Mỹ từ chiến lược dự trữ bitcoin dự kiến sang hạ tầng AI, bao gồm trung tâm dữ liệu, năng lực GPU và các thương vụ mua lại, theo CoinDesk. Động thái này sửa đổi một kế hoạch quỹ 500 triệu đô la Mỹ

CryptoFrontier2giờ trước

Trader 'pension-usdt.eth' đối mặt với $18M thua lỗ chưa thực hiện khi short BTC do địa chỉ chịu lỗ lớn nhất của Hyperliquid

bitcoin news ethereum news Dữ liệu phái sinh

Theo BlockBeats dẫn lời Hyperinsight, vào ngày 6/5, trader 'pension-usdt.eth' tích lũy khoản lỗ chưa thực hiện 18 triệu USD trên Hyperliquid sau khi nắm giữ các vị thế short BTC hơn 35 ngày trong bối cảnh Bitcoin tăng giá vượt 81.000 USD. Địa chỉ này hiện là nguồn tạo ra khoản lỗ lớn nhất của nền tảng trong 7

GateNews2giờ trước

Bình luận

0/400

Không có bình luận