Bitcoin Core a discrètement corrigé son tout premier bug de sécurité lié à la mémoire des mois avant de divulguer publiquement la vulnérabilité mardi, tandis qu'une grande partie des nœuds pourraient encore utiliser le logiciel affecté.
La faille de haute gravité aurait pu permettre à des mineurs de planter à distance et potentiellement d'exécuter du code sur les nœuds d'autres utilisateurs en utilisant des blocs invalides spécialement conçus.
La vulnérabilité, étiquetée CVE-2024-52911, a affecté toutes les versions de Bitcoin Core, de la 0.14.0 à la 28.x, selon l'avis. Un mineur prêt à dépenser de réelles ressources de preuve de travail sur des blocs invalides spécialement conçus aurait pu l'exploiter pour faire planter les nœuds victimes.
De plus, comme la faille est une erreur de mémoire de type "use-after-free", l'exécution de code à distance était possible pendant l'état de mémoire anormal qui en résultait, bien que Bitcoin Core ait déclaré que les contraintes de données de bloc rendaient ce résultat peu probable.
Cependant, le vecteur d'attaque comportait également un moyen de dissuasion intégré.
Tout mineur tentant cela aurait dû gaspiller de la puissance de hachage réelle sur des blocs invalides sans récompense à récupérer. Une perte garantie qui a probablement maintenu le bug dormant dans la nature.
Cory Fields de la Digital Currency Initiative du MIT a découvert la vulnérabilité et l'a signalée en privé le 2 novembre 2024.
Quatre jours plus tard, le développeur de Bitcoin Core, Pieter Wuille, a publié un correctif discret, délibérément intitulé "Improve parallel script validation error debug logging" (Améliorer la journalisation de débogage des erreurs de validation de script parallèle) pour éviter d'alerter les attaquants potentiels.
Le correctif discret a été fusionné en décembre 2024 et intégré plus tard dans Bitcoin Core version 29.0 en avril 2025. La dernière ligne de version vulnérable, la version 28.x, a atteint sa fin de vie le 19 avril 2026 — ouvrant la voie à la divulgation publique de mardi.
Le développeur de Bitcoin Core, Niklas Gögge, a écrit sur X que cela représente "le tout premier problème de sécurité de la mémoire" sur environ deux ans d'avis de sécurité publics du projet, attribuant le mérite à Fields pour la divulgation responsable.
Les règles de consensus de Bitcoin n'ont pas été affectées, car le bug était confiné à la gestion de la mémoire du logiciel de nœud et n'a introduit aucun changement dans le comportement on-chain.
Néanmoins, la divulgation est arrivée avec une mise en garde inconfortable.
Selon une estimation largement citée basée sur le tableau de bord de Clark Moody, environ 43% des nœuds Bitcoin (BTC) pourraient encore fonctionner avec un logiciel antérieur à la v29 et rester exposés au risque.
La divulgation de la vulnérabilité s'ajoute également à une période de concentration aiguë sur la sécurité de l'infrastructure de Bitcoin.
En avril, des chercheurs ont proposé le BIP-361 pour éliminer progressivement les types de signature hérités comme protection contre les menaces de l'informatique quantique, comme The Block l'avait précédemment rapporté.
Une proposition distincte de Paradigm Research a depuis offert un mécanisme alternatif pour protéger les pièces dormantes de l'ère Satoshi sans forcer la migration d'adresses.
Avertissement : The Block est un organe de presse indépendant qui diffuse des actualités, des analyses et des données. En novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés du secteur des cryptomonnaies. L'échange de cryptomonnaies Bitget est un commanditaire principal (LP) pour Foresight Ventures. The Block continue d'opérer de manière indépendante pour fournir des informations objectives, percutantes et opportunes sur l'industrie de la cryptomonnaie. Voici nos informations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est ni proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
