Команда специалистов Bitcoin Core исправилиа ошибку, связанную с безопасностью памяти. Значительная часть узлов до сих работает с уязвимым программным обеспечением.
A new high severity level advisory has been posted:https://t.co/zBboOF1IJC— Bitcoin Core Project (@bitcoincoreorg) May 5, 2026
Ошибку обнаружил исследователь Кори Филдс и сообщил о ней 2 ноября 2024 года.
Через несколько дней программист Питер Вуйле выпустил скрытый патч: чтобы не привлекать внимание злоумышленников, патч вышел под нейтральным названием — как очередное улучшение отладки параллельной проверки скриптов.
Исправление вошло в кодовую базу в декабре 2024 и попало в релиз Bitcoin Core 29.0 в апреле 2025 года. Последняя уязвимая ветка 28.x достигла конца своего жизненного цикла 19 апреля 2026 года — только после этого разработчики раскрыли детали.
В Bitcoin Core подчеркнули:уязвимость не затрагивала консенсусные правила блокчейна и касалась исключительно локальной обработки памяти в программном обеспечении узлов.
В чем заключалась проблема
Уязвимость представляла собой первую в истории Bitcoin Core ошибку безопасности памяти (memory safety bug). При определенных условиях майнер мог создать специально сконструированный невалидный блок, который аварийно завершал работу ноды жертвы во время параллельной проверки скриптов.
Теоретически проблема также открывала путь к удаленному выполнению кода (remote code execution) в момент некорректного состояния памяти. В Bitcoin Core назвали такой сценарий маловероятным из-за ограничений формата блоков, но оценили риск как высокий.
Атаку сдерживал простой экономический фактор: для эксплуатации уязвимости злоумышленник тратил бы реальный хешрейт на майнинг невалидных блоков, не получая награды.
Разработчики исправили баг, но значительная часть сети пока не обновилась. По данным Clark Moody, около 43% биткоин-нод до сих пор работают на клиентах более ранних версий.
Напомним, в апреле программисты провели демонстрацию уязвимостей консенсуса биткоина.
