比特币核心开发团队近日公开通报一项高危安全问题,编号CVE-2024-52911,可能使攻击者通过特定操作远程触发部分节点的崩溃行为。该漏洞存在于0.14.0至29.0之间的所有版本中,而当前仍有大量节点运行在受影响范围内。
漏洞根源位于比特币核心客户端的区块验证脚本解释器模块。研究人员指出,恶意构造的区块可能在内存释放后引发读取异常,进而破坏节点正常运行流程。
系统设计中,交易输入数据会预先计算并交由后台线程处理。若接收到无效区块,缓存数据可能被破坏,而其他线程仍在尝试访问已被释放的内存区域,从而触发崩溃。
虽然理论上存在远程代码执行的可能性,但受限于区块结构与数据长度,实现此类攻击的实际门槛极高。目前尚未发现真实世界中的利用案例。
实施该类攻击需要生成具备足够工作量证明的非法区块,并成功将其传播至目标节点链尾。由于这些区块本身无效,无法获得区块奖励,攻击者将付出巨大算力代价却无法获取任何经济回报。
团队强调,此漏洞未改变比特币共识机制,其本质是软件层面的内存管理缺陷,而非协议规则漏洞。因此,对网络整体安全性不构成根本威胁。
麻省理工学院数字货币研究中心研究员科里·菲尔兹于2024年11月2日首次向开发团队提交漏洞详情,附带概念验证代码及缓解建议。四日后,开发者彼得·维勒完成隐蔽式修复代码提交,该变更于2024年12月3日合并入主分支。
最终修复随比特币核心29.0版本于2025年4月正式发布并生效。此次披露遵循项目既定的高危漏洞公开政策——在最后一个受影响版本生命周期结束后才对外公布细节。
值得注意的是,由于比特币核心客户端不具备自动更新功能,仍在使用旧版本的节点用户持续暴露于风险之中。历史统计显示,截至2021年6月,约21%的节点仍运行过时软件,这一比例在新漏洞出现后依然不容忽视。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.