比特幣核心(Bitcoin Core)開發者披露一項高嚴重性漏洞,可能允許礦工遠端使部分比特幣節點崩潰。
摘要
- 比特幣核心披露 CVE-2024-52911,影響 29.0 之前的版本,且較舊的節點仍可能在線暴露。
- 獲取崩潰所需的攻擊需要成本高昂的工作量證明(proof-of-work)區塊,因而在過去現實世界中對攻擊者而言要濫用該漏洞歷史上不太可能。
- Cory Fields 於 2024 年在比特幣核心 29.0 發布修補程式之前,私下通報了該漏洞。
該問題(編號為 CVE-2024-52911)影響比特幣核心 0.14.0 之後、但在 29.0 之前的版本。該漏洞已在 29.0 中修復,而 29.0 於 2025 年 4 月發布。
比特幣核心於 2026 年 5 月 5 日公開該問題,因為最後一條仍具風險的 28.x 發行分支在 4 月 19 日達到生命週期終止(end of life)。
漏洞影響區塊驗證
該問題涉及比特幣核心在區塊驗證期間使用的腳本解譯器(script interpreter)。比特幣核心表示,經特製的區塊可能導致節點在該資料已被釋放之後,仍嘗試存取記憶體。
在驗證過程中,比特幣核心會先預先計算交易輸入資料,並將腳本檢查送往背景執行緒(background threads)。在某些情況下,無效區塊可能會毀損快取資料,而另一個執行緒仍嘗試讀取它。
比特幣核心表示,這可能允許攻擊者在擁有足夠工作量證明(proof-of-work)的情況下,使受害節點崩潰。它也表示「崩潰可能支援遠端程式碼執行(remote code execution)」是可能的,然而由於區塊資料的限制,這種結果「不太可能」。
攻擊需要付出高成本的挖礦
該攻擊並不容易執行。礦工需要製作一個特製區塊,並投入足夠的工作量證明(proof-of-work)以抵達鏈(chain)的頂端(tip)。
這使得攻擊成本高昂,因為這種區塊會是無效的。它無法獲得正常的區塊獎勵(block reward),因此攻擊者只能消耗算力(hashpower),卻無法收取通常的挖礦(mining)所得。
比特幣核心沒有表示該漏洞已在真實攻擊中被使用。該公告重點在於漏洞本身、修補方式,以及揭露時間軸。
該漏洞並未改變比特幣的共識(consensus)規則。它與比特幣核心軟體中的記憶體處理相關,而不是用來定義有效比特幣交易或區塊的規則。
Cory Fields 通報該漏洞
MIT Digital Currency Initiative 的 Cory Fields 在 2024 年 11 月 2 日私下通報了該漏洞。比特幣核心表示,該通報包含了概念驗證(proof of concept)以及一種降低風險的建議方法。
Pieter Wuille 在四天後透過 PR 31112 推出了一項隱密修補(covert fix)。該拉取請求(pull request)於 2024 年 12 月 3 日被合併,且在比特幣核心 29.0 於 2025 年 4 月發布並納入修補之前完成。
該公告遵循比特幣核心針對高嚴重性漏洞的揭露政策。該政策規定,高嚴重性問題會在最後一個受影響發行版本生命週期終止後才揭露。
此外,使用比特幣核心 29.0 之前版本的節點營運者仍然面臨舊漏洞。比特幣核心不會自動更新,因此使用者必須手動安裝較新版本。
一份先前關於區塊鏈去中心化風險的報告曾引用研究:在 2021 年 6 月,有 21% 的比特幣節點運行的是過時的比特幣核心軟體。這個背景說明了為何即使修補已推出,較舊的客戶端版本仍可能在很長一段時間內成為安全疑慮。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
比特幣出現 67 天連續負資金費率,K33 提出空頭擠壓風險警訊
比特幣(BTC)在週三交易價格超過 82,000 美元,達到三個多月以來的最高水準;研究與經紀公司 K33 表示,這個十年以來最長的連續負資金費率走勢可能會放大空頭擠壓風險。連續 67 天為負的 30 天平均資金費率
Crypto Frontier2分鐘前
比特幣現貨 ETF 連續 4 天創下 16 億美元淨流入紀錄
根據 SoSoValue,截至 5 月 6 日為止,過去四天美國現貨比特幣 ETF 的淨流入約為 16.44 十億美元。貝萊德的 iShares 比特幣信託(IBIT)以約 8.90 億美元的流入領先,使其比特幣持有量達到超過 818,146 BTC,價值為 65.47 十億美元。F
GateNews14分鐘前
哥倫比亞總統 Petro 提議在三座城市設立加勒比海比特幣挖礦樞紐
根據週二在 X 上的一則貼文,哥倫比亞總統 Gustavo Petro 提出將加勒比海轉型為比特幣挖礦樞紐,並將 Santa Marta、Riohacha 和 Barranquilla 指定為關鍵地點。Petro 指出委內瑞拉和巴拉圭是成功吸引比特幣礦工的國家作為例子
GateNews14分鐘前
比特幣現貨 ETF 在 4 天內錄得 16 億美元資金流入
## 現貨比特幣 ETF 在四天內吸引 16 億美元
根據 SoSoValue 的數據,美國現貨比特幣(BTC)交易所交易基金(ETF)在截至 5 月 5 日止的連續四天內,已錄得約 16440億美元的淨現金流入。流入已使比特幣總量
Crypto Frontier20分鐘前
鯨魚「Jason60704294」在 80,837 美元時平倉 501.65 BTC 空單部位,承受 $610K 損失
根據 Odaily,鏈上分析師 Ai 姨 發現,鯨魚「Jason60704294」於昨日下午關閉了一筆 501.65 BTC 的空倉部位;該部位是在 80,837.9 美元開倉、總價值 4055 萬美元。該鯨魚預估損失了 61 萬美元,於
GateNews45分鐘前
Gomining 於 Consensus Miami 推出 GoBTC,瞄準比特幣久違的支付層
Gomining 是全球前 10 大比特幣礦工之一,擁有 500 萬名用戶,已在 2026 年共識邁阿密(Consensus Miami 2026)揭露 GoBTC。這是一個開放式支付協議,能在 12 小時內提供即時授權與鏈上比特幣結算,並收取 0.2% 的商家手續費。
重點摘錄:
Gomining 在 Conse
Coinpedia2小時前
