比特币核心(Bitcoin Core)开发者披露了一项高严重性漏洞,该漏洞可能允许矿工远程崩溃部分比特币节点。
摘要
- Bitcoin Core 披露了 CVE-2024-52911,影响 29.0 之前的版本,仍有更旧节点暴露在互联网上。
- 矿工需要代价高昂的工作量证明(proof-of-work)区块来触发崩溃,这使得攻击者在现实中进行滥用在历史上不太可能。
- Cory Fields 于 2024 年在 Bitcoin Core 29.0 发布修补程序软件之前,私下上报了该漏洞。
该问题(追踪编号为 CVE-2024-52911)影响了 0.14.0 之后且 29.0 之前的 Bitcoin Core 版本。该漏洞已在 2025 年 4 月发布的 Bitcoin Core 29.0 中修复。
在 2026 年 5 月 5 日,Bitcoin Core 在最终仍在可受影响的 28.x 发行分支于 2026 年 4 月 19 日进入生命周期终止之后,才公开了该问题。
漏洞影响区块验证
该问题涉及 Bitcoin Core 在区块验证期间使用脚本解释器(script interpreter)。Bitcoin Core 表示,经过特别构造的区块可能导致节点在相关数据已被释放之后仍尝试访问内存。
在验证过程中,Bitcoin Core 会预先计算交易输入数据,并将脚本校验发送到后台线程。某些情况下,若区块无效,可能会在另一个线程仍尝试读取它时销毁缓存数据。
Bitcoin Core 表示,这可能使攻击者在拥有足够工作量证明(proof-of-work)的情况下崩溃受害节点。其也表示“崩溃”在某些情况下“可能”支持远程代码执行(remote code execution),尽管由于区块数据的限制,该结果“不太可能”。
攻击需要昂贵的挖矿
该攻击并不容易实施。矿工需要生成一个经过特别构造的区块,并拥有足够的工作量证明(proof-of-work)以到达链的最新高度(chain tip)。
这使得该攻击成本高昂,因为这种区块将会无效。它无法获得正常区块奖励,迫使攻击者在不领取通常挖矿收益的情况下消耗算力(hashpower)。
Bitcoin Core 没有表示该漏洞已在真实攻击中被使用。公告的重点在于该缺陷、修复以及披露时间线。
该漏洞并未改变比特币的共识规则。它与 Bitcoin Core 软件中的内存处理有关,而不是定义有效比特币交易或区块的规则。
Cory Fields 报告了该漏洞
来自 MIT Digital Currency Initiative 的 Cory Fields 于 2024 年 11 月 2 日私下上报了该漏洞。Bitcoin Core 表示,该报告包含了概念验证(proof of concept)以及一项降低风险的拟议方法。
Pieter Wuille 于四天后通过 PR 31112 推出了一项隐蔽修复(covert fix)。该拉取请求(pull request)在 2024 年 12 月 3 日合并完成,早于 2025 年 4 月在 Bitcoin Core 29.0 中随修复一起发布。
该公告遵循 Bitcoin Core 对高严重性漏洞的披露政策。其政策指出:对高严重性问题的披露应在最后一个受影响发行版本进入生命周期终止之后进行。
此外,使用 29.0 之前版本的节点运营者仍然面临旧漏洞。Bitcoin Core 不会自动更新,因此用户必须手动安装更新版本。
关于区块链去中心化风险的过去一份报告曾提到一项研究:在 2021 年 6 月,21% 的比特币节点运行的是过时的 Bitcoin Core 软件。该背景说明为何在修复发布很久之后,旧客户端版本仍可能构成安全隐患。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
比特币因 K33 发出空头挤压风险警报,出现 67 天负融资连续纪录
周三,Bitcoin(BTC)在 82,000 美元以上交易,达到三个月多以来的最高水平;研究与经纪公司 K33 指出,过去十年中持续时间最长的负资金费率周期可能会放大空头挤压风险。过去 67 天连续为负的 30 日平均资金费率
Crypto Frontier13 分钟前
比特币现货 ETF 连续 4 天净流入创纪录 16 亿美元
据 SoSoValue,过去四天截至 5 月 6 日,美国现货比特币 ETF 录得约 16.44 亿美元的净流入。贝莱德的 iShares 比特币信托(IBIT)以约 8.90 亿美元的流入领跑,使其比特币持仓超过 818,146 BTC,价值 654.7 亿美元。F
GateNews25 分钟前
哥伦比亚总统佩特罗提议在三个城市设立加勒比比特币采矿枢纽
据周二在 X 上发布的一则帖文,哥伦比亚总统古斯塔沃·佩特罗提议将加勒比海改造成一个比特币挖矿枢纽,并点名圣玛尔塔、里奥哈查和巴兰基利亚为关键地点。佩特罗将委内瑞拉和巴拉圭列为已经成功吸引比特币矿工的国家示例
GateNews26 分钟前
比特币现货 ETF 在 4 天内录得 16 亿美元资金流入
## 现货比特币 ETF 在四天内吸引 16 亿美元
根据 SoSoValue 的数据,截至 5 月 5 日,美国现货比特币(BTC)交易所交易基金(ETF)在连续四天内录得约 16440亿美元的净现金流入。流入规模已将比特币总额推高至
Crypto Frontier31 分钟前
鲸鱼“Jason60704294”在 $80,837 收盘并关闭 501.65 BTC 的空头仓位,承受 $610K 损失
据 Odaily 称,链上分析师 Ai姨 发现鲸鱼“Jason60704294”在昨日午后平掉了一笔 501.65 BTC 的空头仓位。该仓位是在 80,837.9 美元开立的,价值 40.55 million 美元。鲸鱼预计亏损约 4055万美元,且
GateNews56 分钟前
Gomining 在 Consensus Miami 上推出 GoBTC,瞄准比特币长期期待的支付层
Gomining 是全球顶级比特币矿工之一,用户数超过 500 万,已在 2026 年米阿迈共识(Consensus Miami 2026)上发布 GoBTC:这是一种开放式支付协议,可在 12 小时内实现即时授权与链上比特币结算,并收取 0.2% 的商户手续费。
要点:
Gomining 在 Conse
Coinpedia2小时前
