Колектив Bitcoin Core усунув недолік, пов’язаний з безпекою оперативної пам’яті. Велика частина вузлів досі функціонує на уразливих варіаціях клієнтського програмного забезпечення.
Оприлюднено нове застереження високого ступеня серйозності:https://t.co/zBboOF1IJC
— Bitcoin Core Project (@bitcoincoreorg) May 5, 2026
Недолік виявив дослідник Корі Філдс і сповістив про нього 2 листопада 2024 року.
Через декілька діб розробник Пітер Вуйле випустив прихований патч: аби не привертати увагу зловмисників, він з’явився під нейтральною назвою — як чергове поліпшення налагодження паралельної перевірки скриптів.
Виправлення потрапило до кодової бази в грудні 2024 року і увійшло до релізу Bitcoin Core 29.0 у квітні 2025-го. Остання уразлива гілка 28.x завершила життєвий цикл 19 квітня 2026 року — лише після цього девелопери розкрили деталі.
У Bitcoin Core підкреслили: уразливість не торкалася консенсусних правил блокчейну і відносилася виключно до локальної обробки пам’яті в програмному забезпеченні вузлів.
В чому полягала проблема
Уразливість стала першою в історії Bitcoin Core помилкою безпеки оперативної пам’яті (memory safety bug). За певних обставин майнер міг створити спеціально скомпонований недійсний блок, який призводив до аварійного припинення роботи ноди-жертви під час паралельної перевірки скриптів.
Теоретично проблема також відкривала шлях до віддаленого виконання коду (remote code execution) в момент некоректного стану пам’яті. У Bitcoin Core назвали такий сценарій малоймовірним через обмеження формату блоків, проте оцінили ризик як значний.
Атаку обмежував простий економічний фактор: для експлуатації вразливості зловмисник витрачав би реальний хешрейт на майнінг недійсних блоків без отримання винагороди.
Розробники прибрали баг, але велика частина мережі поки не оновилась. За інформацією Clark Moody, приблизно 43% біткоїн-нод досі функціонують на клієнтах попередніх версій.
Нагадаємо, у квітні програмісти провели демонстрацію вразливостей консенсусу біткоїна.