Key Takeaways
- 比特幣核心披露了一個高危記憶體漏洞 CVE-2024-52911,影響版本為 0.14.0 至 28.x。
- 該漏洞允許礦工利用特製的無效區塊使受影響節點崩潰,且存在極小的遠端程式碼執行風險。
- 雖然修復補丁已隨 2025 年 4 月發佈的 29.0 版本推出,但據估計仍有 43% 的比特幣節點運行受影響軟體。
返回
返回
比特幣核心漏洞導致 43% 的節點面臨遠端崩潰風險
根據開發者於 2026 年 5 月 6 日發佈的公開披露,比特幣網絡的主要客戶端軟體——比特幣核心(Bitcoin Core)存在一個高危漏洞,可能允許礦工導致未打補丁的節點崩潰。據估計,仍有 43% 的網絡節點面臨風險,儘管該漏洞在一年多前就已完成修復。
官方公告顯示,該漏洞編號為 CVE-2024-52911,是由麻省理工學院(MIT)數位貨幣倡議組織的 Cory Fields 發現的一個「釋放後重用」(use-after-free)記憶體錯誤。Fields 於 2024 年 11 月 2 日秘密報告了此問題,使開發者能在惡意行為者利用之前悄悄發佈修復程序。
該漏洞影響從 0.14.0 到 28.x 的所有比特幣核心版本。如果擁有足夠算力的礦工提交一個特製的無效區塊,就可能觸發該漏洞,導致受影響節點崩潰。由於該缺陷屬於記憶體錯誤,披露聲明指出雖然可能性較低,但仍存在遠端程式碼執行的風險。修復補丁已包含在 2025 年 4 月發佈的比特幣核心 29.0 版本中。
主要風險在於網路穩定性,因為成功的攻擊可能導致大部分節點離線。攻擊行為本身存在內置約束力,即攻擊成本極高:礦工需要消耗巨大的工作量證明資源來挖掘一個無效區塊,且無法獲得任何區塊獎勵。然而,根據 Clark Moody 儀表板的數據,目前仍有約 43% 的節點運行受影響軟體,這凸顯了在去中心化生態系統中協調更新的持續挑戰。
負責任的披露機制
CVE-2024-52911 的處理過程是負責任披露的典型案例。在 2024 年 11 月收到秘密報告後,比特幣核心開發者 Pieter Wuille 僅在四天後就提交了一個隱蔽的修復程序,並刻意進行了模糊處理,以避免向潛在攻擊者暴露漏洞。該修復程序於 2024 年 12 月合併,並於 2025 年 4 月正式發佈。開發者一直等到 2026 年 5 月,即最後一個受影響的軟體版本 28.x 官方停止維護後,才進行了公開披露。
開發者 Niklas Gögge 在 X 平台上指出,這是該項目約兩年來的公開安全公告中「首個記憶體安全問題」,並對 Fields 在負責任披露過程中的貢獻表示感謝。該漏洞並未影響比特幣的共識規則,也未引入任何鏈上更改。
這一事件強調了節點運營商及時將軟體更新至最新版本的重要性,以確保網路的安全與穩定。
本文僅供參考,不構成投資建議。
