Bitcoin Core hat stillschweigend seinen ersten Memory-Safety-Bug behoben, Monate bevor die Schwachstelle am Dienstag öffentlich bekannt gegeben wurde, während ein großer Teil der Nodes möglicherweise immer noch die betroffene Software ausführt.
Die schwerwiegende Schwachstelle hätte es Minern ermöglichen können, die Nodes anderer Benutzer aus der Ferne zum Absturz zu bringen und möglicherweise Code auszuführen, indem sie speziell präparierte ungültige Blöcke verwenden.
Die als CVE-2024-52911 bezeichnete Schwachstelle betraf laut der Mitteilung alle Bitcoin Core-Versionen von 0.14.0 bis 28.x. Ein Miner, der bereit war, echte Proof-of-Work-Ressourcen für speziell präparierte ungültige Blöcke aufzuwenden, hätte diese ausnutzen können, um Opfer-Nodes zum Absturz zu bringen.
Da die Schwachstelle außerdem ein Use-after-Free-Speicherfehler ist, war die Remote-Code-Ausführung während des daraus resultierenden abnormalen Speicherzustands möglich, obwohl Bitcoin Core angab, dass Blockdateneinschränkungen dieses Ergebnis unwahrscheinlich machten.
Der Angriffsvektor enthielt jedoch auch ein eingebautes Abschreckungsmittel.
Jeder Miner, der dies versucht hätte, hätte echte Hashpower für ungültige Blöcke ohne Belohnung verbrennen müssen. Ein garantierter Verlust, der den Bug wahrscheinlich in der Wildnis schlummern ließ.
Cory Fields von MITs Digital Currency Initiative entdeckte die Schwachstelle und meldete sie privat am 2. November 2024.
Vier Tage später veröffentlichte der Bitcoin Core-Entwickler Pieter Wuille einen verdeckten Fix, der absichtlich den Titel "Improve parallel script validation error debug logging" trug, um potenzielle Angreifer nicht aufmerksam zu machen.
Der verdeckte Fix wurde im Dezember 2024 zusammengeführt und später im April 2025 in Bitcoin Core Version 29.0 ausgeliefert. Die letzte anfällige Release-Linie, Version 28.x, erreichte am 19. April 2026 ihr End-of-Life – was den Weg für die öffentliche Bekanntgabe am Dienstag ebnete.
Bitcoin Core-Entwickler Niklas Gögge schrieb auf X, dass es sich um "das erste Memory-Safety-Problem" in den etwa zwei Jahren der öffentlichen Sicherheitswarnungen des Projekts handelt, und würdigte Fields für die verantwortungsvolle Offenlegung.
Die Konsensregeln von Bitcoin waren nicht betroffen, da der Bug auf die Speicherverwaltung der Node-Software beschränkt war und keine Änderungen am On-Chain-Verhalten hervorrief.
Nichtsdestotrotz kam die Offenlegung mit einem unangenehmen Vorbehalt.
Laut einer weithin zitierten Schätzung, die auf dem Dashboard von Clark Moody basiert, laufen etwa 43 % der Bitcoin (BTC)-Nodes möglicherweise immer noch mit Pre-v29-Software und bleiben dem Risiko ausgesetzt.
Die Offenlegung der Schwachstelle trägt auch zu einer Phase intensiver Konzentration auf die Infrastruktursicherheit von Bitcoin bei.
Im April schlugen Forscher BIP-361 vor, um ältere Signaturtypen als Absicherung gegen Bedrohungen durch Quantencomputing auslaufen zu lassen, wie The Block zuvor berichtete.
Ein separater Vorschlag von Paradigm Research hat seitdem einen alternativen Mechanismus zum Schutz ruhender Satoshi-Ära-Coins angeboten, ohne eine Adressmigration zu erzwingen.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Analysen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Kryptoindustrie zu liefern. Hier sind unsere aktuellen Finanzinformationen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Er wird nicht als rechtliche, steuerliche, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dazu bestimmt.
