O Bitcoin Core corrigiu silenciosamente seu primeiro bug de segurança de memória meses antes de divulgar publicamente a vulnerabilidade na terça-feira, enquanto uma grande parte dos nós ainda pode estar executando o software afetado.
A falha de alta gravidade poderia ter permitido que mineradores derrubassem remotamente e potencialmente executassem código nos nós de outros usuários usando blocos inválidos especialmente elaborados.
A vulnerabilidade, rotulada CVE-2024-52911, afetou todas as versões do Bitcoin Core de 0.14.0 a 28.x, de acordo com o aviso. Um minerador disposto a gastar recursos reais de prova de trabalho em blocos inválidos especialmente elaborados poderia tê-la explorado para derrubar nós vítimas.
Além disso, como a falha é um erro de memória "use-after-free", a execução remota de código era possível durante o estado anormal de memória resultante, embora o Bitcoin Core tenha afirmado que as restrições de dados do bloco tornavam esse resultado improvável.
No entanto, o vetor de ataque também carregava um impedimento inerente.
Qualquer minerador que tentasse isso teria que queimar hashpower real em blocos inválidos sem recompensa para recuperar. Uma perda garantida que provavelmente manteve o bug dormente em estado selvagem.
Cory Fields, da Iniciativa de Moeda Digital do MIT, descobriu a vulnerabilidade e a reportou privadamente em 2 de novembro de 2024.
Quatro dias depois, o desenvolvedor do Bitcoin Core, Pieter Wuille, lançou uma correção secreta, deliberadamente intitulada "Melhorar o registro de depuração de erros de validação de script paralelo" para evitar alertar potenciais atacantes.
A correção secreta foi incorporada em dezembro de 2024 e posteriormente lançada na versão 29.0 do Bitcoin Core em abril de 2025. A última linha de lançamento vulnerável, versão 28.x, atingiu o fim de sua vida útil em 19 de abril de 2026 — abrindo caminho para a divulgação pública de terça-feira.
O desenvolvedor do Bitcoin Core, Niklas Gögge, escreveu no X que isso representa "o primeiro problema de segurança de memória" em aproximadamente dois anos de avisos públicos de segurança do projeto, creditando Fields pela divulgação responsável.
As regras de consenso do Bitcoin não foram afetadas, uma vez que o bug estava confinado ao tratamento de memória do software do nó e não introduziu alterações no comportamento on-chain.
No entanto, a divulgação veio com uma ressalva incômoda.
De acordo com uma estimativa amplamente citada baseada no painel de Clark Moody, aproximadamente 43% dos nós Bitcoin (BTC) ainda podem estar executando software pré-v29 e permanecem expostos ao risco.
A divulgação da vulnerabilidade também se soma a um período de foco agudo na segurança da infraestrutura do Bitcoin.
Em abril, pesquisadores propuseram a BIP-361 para eliminar gradualmente os tipos de assinatura legados como uma proteção contra ameaças de computação quântica, conforme relatado anteriormente pelo The Block.
Uma proposta separada da Paradigm Research ofereceu desde então um mecanismo alternativo para proteger moedas dormentes da era Satoshi sem forçar a migração de endereços.
Aviso Legal: O Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é uma investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento legal, fiscal, de investimento, financeiro ou outro.
