Bitcoin Core heeft zijn allereerste geheugenveiligheidsbug stilletjes gerepareerd maanden voordat de kwetsbaarheid dinsdag openbaar werd gemaakt, terwijl een groot deel van de nodes mogelijk nog steeds de getroffen software draait.
De kwetsbaarheid met hoge ernst had miners in staat kunnen stellen om nodes van andere gebruikers op afstand te laten crashen en mogelijk code uit te voeren, met behulp van speciaal geconstrueerde ongeldige blokken.
De kwetsbaarheid, gelabeld als CVE-2024-52911, trof alle Bitcoin Core-versies van 0.14.0 tot en met 28.x, aldus de melding. Een miner die bereid was echte proof-of-work middelen te besteden aan speciaal geconstrueerde ongeldige blokken, had deze kunnen misbruiken om slachtoffer-nodes te laten crashen.
Bovendien, omdat de fout een 'use-after-free'-geheugenfout is, was het mogelijk om op afstand code uit te voeren tijdens de resulterende abnormale geheugenstatus, hoewel Bitcoin Core aangaf dat beperkingen op blokdata die uitkomst onwaarschijnlijk maakten.
De aanvalsvector bevatte echter ook een ingebouwd afschrikmiddel.
Elke miner die dit probeerde, zou echte hashpower op ongeldige blokken hebben moeten verspillen zonder enige beloning terug te verdienen. Een gegarandeerd verlies dat de bug waarschijnlijk slapend hield.
Cory Fields van MIT's Digital Currency Initiative ontdekte de kwetsbaarheid en rapporteerde deze privé op 2 november 2024.
Vier dagen later bracht Bitcoin Core-ontwikkelaar Pieter Wuille een verborgen oplossing uit, doelbewust getiteld "Improve parallel script validation error debug logging" om potentiële aanvallers niet te alarmeren.
De verborgen oplossing werd in december 2024 samengevoegd en later in april 2025 uitgebracht in Bitcoin Core versie 29.0. De laatste kwetsbare releaselijn, versie 28.x, bereikte het einde van de levensduur op 19 april 2026 — wat de weg vrijmaakte voor de openbare bekendmaking van dinsdag.
Bitcoin Core-ontwikkelaar Niklas Gögge schreef op X dat het de "allereerste geheugenveiligheidskwestie" vertegenwoordigt in ongeveer twee jaar van de openbare beveiligingsadviezen van het project, en prees Fields voor verantwoorde openbaarmaking.
De consensusregels van Bitcoin werden niet beïnvloed, aangezien de bug beperkt was tot de geheugenafhandeling van de node-software en geen wijzigingen introduceerde in het on-chain gedrag.
Niettemin kwam de bekendmaking met een ongemakkelijke kanttekening.
Volgens een veelgeciteerde schatting gebaseerd op het dashboard van Clark Moody, draait ongeveer 43% van de Bitcoin (BTC) nodes mogelijk nog steeds pre-v29 software en blijft blootgesteld aan het risico.
De openbaarmaking van de kwetsbaarheid draagt ook bij aan een periode van scherpe focus op de infrastructuurbeveiliging van Bitcoin.
In april stelden onderzoekers BIP-361 voor om verouderde handtekeningtypes uit te faseren als een bescherming tegen kwantumcomputerbedreigingen, zoals The Block eerder rapporteerde.
Een afzonderlijk voorstel van Paradigm Research heeft sindsdien een alternatief mechanisme geboden om slapende Satoshi-tijdperk munten te beschermen zonder adresmigratie af te dwingen.
Disclaimer: The Block is een onafhankelijk mediakanaal dat nieuws, onderzoek en data levert. Per november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Crypto exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatieve doeleinden aangeboden. Het is niet bedoeld of aangeboden om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
