De acordo com a Protos, a 5 de maio, os programadores do Bitcoin Core divulgaram no sítio oficial um critico problema de segurança, a CVE-2024-52911. Esta falha permite que os mineradores, ao minerar blocos especialmente preparados, façam com que os nós de outros utilizadores colapsem remotamente e, em determinadas condições, executem código. Como a atualização de todos os nós da Bitcoin passou a ser voluntária, estima-se ainda que cerca de 43% dos nós estejam a executar versões antigas do software que têm vulnerabilidade.
Pormenores técnicos da falha
De acordo com o anúncio oficial do Bitcoin Core e com a reportagem da Protos a 5 de maio, a CVE-2024-52911 é uma vulnerabilidade de segurança de memória do tipo “use-after-free” (utilização após libertação), existente no mecanismo de validação de scripts em paralelo do Bitcoin Core. Durante a validação de blocos, o Bitcoin Core calcula antecipadamente e armazena em cache dados de entradas de transações e distribui o trabalho de validação de scripts para uma thread de fundo; quando a thread de scripts de fundo lê dados em cache que já foram destruídos pelo CScriptCheck, pode ocorrer execução remota de código.
O programador do Bitcoin Core Niklas Gögge afirmou que esta é a primeira vulnerabilidade do Bitcoin Core na categoria de “problemas de segurança de memória” na sua história. O anúncio oficial do Bitcoin Core confirma que as regras de consenso do Bitcoin não foram alteradas por causa da correção desta vulnerabilidade.
De acordo com a Protos, este ataque exige que os mineradores utilizem uma grande quantidade de capacidade de computação para minerar blocos inválidos que não podem obter recompensa de bloco, um custo extremamente elevado; por isso, o anúncio oficial do Bitcoin Core considera que, historicamente, é muito provável que a vulnerabilidade nunca tenha sido explorada na prática.
Calendário de divulgação responsável
De acordo com o anúncio oficial do Bitcoin Core e com a reportagem da Protos a 5 de maio, o cronograma de divulgação da CVE-2024-52911 é o seguinte:
Novembro de 2024: o programador Cory Fields deteta a falha e comunica-a em privado
Novembro de 2024 (quatro dias depois de detetar): Pieter Wuille submete a proposta de correção PR #31112
Dezembro de 2024: a PR #31112 é fundida no ambiente de produção
Abril de 2025: é lançada a versão Bitcoin Core v29.0, que inclui a correção
19 de abril de 2026: a última série de versões com vulnerabilidade (28.x) deixa de ser mantida
5 de maio de 2026: o Bitcoin Core divulga publicamente esta vulnerabilidade no sítio oficial
Estado atual da correção
De acordo com a reportagem da Protos a 5 de maio, devido a que a atualização de todos os nós da Bitcoin passou a ser voluntária e não é executada automaticamente, estima-se que cerca de 43% dos nós de Bitcoin ainda estejam a executar versões vulneráveis anteriores ao v29. O Bitcoin Core recomenda que os operadores de nós atualizem para a v29.0 ou uma versão mais recente.
Perguntas frequentes
Qual é o impacto da CVE-2024-52911 nos nós da Bitcoin?
De acordo com o anúncio oficial do Bitcoin Core, a CVE-2024-52911 permite que os mineradores, ao minerar blocos especialmente preparados, façam colapsar remotamente nós das versões Bitcoin Core 0.14.1 a 28.4 e, em determinadas condições, executem código remoto; as regras de consenso do Bitcoin não foram alteradas por causa da correção desta vulnerabilidade.
Como devem os operadores de nós responder à CVE-2024-52911?
As versões afetadas pela CVE-2024-52911 são o Bitcoin Core 0.14.1 até 28.4; os operadores de nós devem atualizar para a v29.0 ou uma versão mais recente. A última versão 28.x que tinha vulnerabilidade deixou de ser mantida a 19 de abril de 2026.
A CVE-2024-52911 chegou a ser explorada na prática?
De acordo com o anúncio oficial do Bitcoin Core e com a reportagem da Protos a 5 de maio, este ataque exige que os mineradores utilizem uma grande quantidade de capacidade de computação para minerar blocos inválidos que não podem obter recompensa de bloco, um custo extremamente elevado. O Bitcoin Core considera que, historicamente, é muito provável que a vulnerabilidade nunca tenha sido explorada na prática.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
