Разработчики Bitcoin Core раскрыли подробности первого в истории проекта критического бага, связанного с безопасностью памяти. Уязвимость, получившая идентификатор CVE-2024-52911, была скрытно исправлена ещё в декабре 2024 года, однако, по оценкам, около 43% доступных узлов до сих пор работают на устаревшем программном обеспечении и остаются уязвимыми.
Согласно уведомлению, ошибка затрагивала все версии Bitcoin Core с 0.14.0 вплоть до линейки 28.x. Технически она представляла собой повреждение памяти типа use-after-free, из-за которого специально сформированный некорректный блок мог вызвать аварийное завершение работы узла. Потенциально это открывало вектор для удалённого выполнения кода, однако, как отметили в Bitcoin Core, ограничения на данные блока делали такой сценарий маловероятным. При этом любой злоумышленник-майнер, решившийся на атаку, был бы вынужден потратить реальные вычислительные мощности на заведомо убыточный невалидный блок — серьёзный сдерживающий фактор.
Уязвимость была обнаружена исследователем из MIT Digital Currency Initiative Кори Филдсом 2 ноября 2024 года и в частном порядке передана разработчикам. Уже через четыре дня ведущий мейнтейнер Питер Вулле подготовил «тихий» патч, намеренно озаглавленный как «улучшение отладочного логирования при параллельной валидации скриптов», чтобы не привлекать внимание потенциальных атакующих. Исправление вошло в релиз Bitcoin Core 29.0 в апреле 2025 года. Поддержка последней уязвимой версии 28.x официально прекратилась 19 апреля 2026-го, что и позволило провести публичное раскрытие.
Несмотря на то что баг не затрагивал консенсус биткоина и не угрожал целостности блокчейна, он создавал реальный риск для стабильности работы майнеров и операторов узлов. Масштаб проблемы подчёркивает низкая скорость обновлений: по данным мониторинговых сервисов, 43% узлов по-прежнему используют версии младше 29.0. Разработчики призывают операторов немедленно обновиться — процедура не требует полной ресинхронизации блокчейна.
Инцидент совпал с периодом повышенного внимания к инфраструктурной безопасности: в апреле исследователи предложили BIP-361 для постепенного отказа от устаревших типов подписей перед лицом квантовых угроз, а в Paradigm Research — альтернативный механизм защиты «спящих» монет эпохи Сатоси.
