Kerentanan kode eksekusi jarak jauh Bitcoin Core untuk penambang, 43% node belum melakukan upgrade

Menurut Protos pada 5 Mei, pengembang Bitcoin Core mengungkapkan secara resmi di situs web resminya kerentanan berisiko tinggi CVE-2024-52911. Kerentanan ini memungkinkan penambang dengan menggali blok khusus menyebabkan node pengguna lain mengalami crash dari jarak jauh dan, dalam kondisi tertentu, menjalankan kode. Karena node lengkap Bitcoin telah beralih menjadi perilaku sukarela, saat ini diperkirakan sekitar 43% node masih menjalankan perangkat lunak lama yang memiliki kerentanan tersebut.

Detail teknis kerentanan

Berdasarkan pengumuman resmi Bitcoin Core dan laporan Protos pada 5 Mei, CVE-2024-52911 termasuk kerentanan keamanan memori “use-after-free” yang terdapat dalam mekanisme verifikasi skrip paralel Bitcoin Core. Saat memverifikasi blok, Bitcoin Core akan menghitung dan meng-cache data input transaksi terlebih dahulu, lalu mendistribusikan pekerjaan verifikasi skrip ke thread eksekusi di latar belakang; ketika thread skrip latar belakang membaca data cache yang sudah dihancurkan oleh CScriptCheck, hal ini dapat menyebabkan eksekusi kode dari jarak jauh.

Pengembang Bitcoin Core Niklas Gögge menyatakan ini adalah kerentanan “masalah keamanan memori” pertama dalam sejarah Bitcoin Core. Pengumuman resmi Bitcoin Core menegaskan bahwa aturan konsensus Bitcoin tidak berubah akibat perbaikan kerentanan ini.

Menurut laporan Protos, serangan ini membutuhkan penambang mengalokasikan banyak daya komputasi untuk menambang blok tidak valid yang tidak dapat memperoleh hadiah blok, sehingga biayanya sangat mahal. Karena itu, pengumuman resmi Bitcoin Core menyimpulkan bahwa kerentanan ini kemungkinan besar tidak pernah benar-benar dimanfaatkan dalam sejarah.

Jadwal responsible disclosure

Berdasarkan pengumuman resmi Bitcoin Core dan laporan Protos pada 5 Mei, timeline pengungkapan CVE-2024-52911 adalah sebagai berikut:

November 2024: pengembang Cory Fields menemukan kerentanan dan melaporkannya secara pribadi

November 2024 (4 hari setelah ditemukan): Pieter Wuille mengirimkan PR perbaikan #31112

Desember 2024: PR #31112 digabungkan ke lingkungan produksi

April 2025: Bitcoin Core v29.0 dirilis, mencakup perbaikan

19 April 2026: rangkaian versi terakhir yang masih memiliki kerentanan (28.x) berhenti dipelihara

5 Mei 2026: Bitcoin Core mengungkapkan kerentanan ini secara resmi di situs webnya

Status perbaikan saat ini

Menurut laporan Protos pada 5 Mei, karena node lengkap Bitcoin telah beralih menjadi perilaku sukarela dan pembaruan tidak dieksekusi secara otomatis, diperkirakan sekitar 43% node Bitcoin masih menjalankan versi yang memiliki kerentanan sebelum v29.0. Bitcoin Core menyarankan operator node untuk melakukan upgrade ke v29.0 atau versi yang lebih baru.

Pertanyaan yang sering diajukan

Bagaimana dampak CVE-2024-52911 terhadap node Bitcoin?

Berdasarkan pengumuman resmi Bitcoin Core, CVE-2024-52911 memungkinkan penambang melalui penambangan blok khusus membuat node versi Bitcoin Core 0.14.1 hingga 28.4 mengalami crash dari jarak jauh, serta menjalankan kode dari jarak jauh dalam kondisi tertentu; aturan konsensus Bitcoin tidak berubah akibat perbaikan kerentanan ini.

Bagaimana seharusnya operator node merespons CVE-2024-52911?

Versi yang terpengaruh CVE-2024-52911 adalah Bitcoin Core 0.14.1 hingga 28.4. Operator node harus melakukan upgrade ke v29.0 atau versi yang lebih baru. Versi 28.x terakhir yang masih memiliki kerentanan sudah berhenti dipelihara pada 19 April 2026.

Apakah CVE-2024-52911 pernah benar-benar dimanfaatkan?

Berdasarkan pengumuman resmi Bitcoin Core dan laporan Protos pada 5 Mei, serangan ini membutuhkan penambang menggunakan daya komputasi yang besar untuk menambang blok tidak valid yang tidak bisa mendapatkan hadiah blok, sehingga biayanya sangat tinggi. Bitcoin Core menilai kerentanan ini kemungkinan besar tidak pernah benar-benar dimanfaatkan dalam sejarah.