Bitcoin Core đã lặng lẽ vá lỗ hổng an toàn bộ nhớ đầu tiên của mình vài tháng trước khi công khai tiết lộ về nó vào thứ Ba, trong khi một phần lớn các node có thể vẫn đang chạy phần mềm bị ảnh hưởng.
Lỗ hổng nghiêm trọng này có thể cho phép các thợ đào từ xa làm sập và có khả năng thực thi mã trên các node của người dùng khác bằng cách sử dụng các khối không hợp lệ được tạo đặc biệt.
Theo thông báo, lỗ hổng, được gắn nhãn CVE-2024-52911, đã ảnh hưởng đến tất cả các phiên bản Bitcoin Core từ 0.14.0 đến 28.x. Một thợ đào sẵn sàng chi tài nguyên bằng chứng công việc thực sự cho các khối không hợp lệ được tạo đặc biệt có thể đã khai thác nó để làm sập các node nạn nhân.
Hơn nữa, vì lỗ hổng này là một lỗi bộ nhớ "use-after-free", việc thực thi mã từ xa có thể xảy ra trong trạng thái bộ nhớ bất thường, mặc dù Bitcoin Core cho biết các ràng buộc dữ liệu khối khiến kết quả đó khó xảy ra.
Tuy nhiên, vector tấn công này cũng có một yếu tố răn đe cố hữu.
Bất kỳ thợ đào nào cố gắng thực hiện điều này sẽ phải đốt sức mạnh băm (hashpower) thực sự vào các khối không hợp lệ mà không có phần thưởng nào để phục hồi. Một sự tổn thất được đảm bảo có thể đã giữ cho lỗi này nằm im lìm trong thực tế.
Cory Fields từ Sáng kiến Tiền tệ Kỹ thuật số của MIT đã phát hiện ra lỗ hổng và báo cáo riêng vào ngày 2 tháng 11 năm 2024.
Bốn ngày sau, nhà phát triển Bitcoin Core Pieter Wuille đã phát hành một bản vá bí mật, được cố ý đặt tên là "Cải thiện ghi nhật ký gỡ lỗi lỗi xác thực tập lệnh song song" để tránh cảnh báo những kẻ tấn công tiềm năng.
Bản vá bí mật này đã được hợp nhất vào tháng 12 năm 2024 và sau đó được phát hành trong Bitcoin Core phiên bản 29.0 vào tháng 4 năm 2025. Dòng phát hành dễ bị tổn thương cuối cùng, phiên bản 28.x, đã hết vòng đời vào ngày 19 tháng 4 năm 2026 — dọn đường cho việc công khai tiết lộ vào thứ Ba.
Nhà phát triển Bitcoin Core Niklas Gögge đã viết trên X rằng đây là "vấn đề an toàn bộ nhớ đầu tiên" trong khoảng hai năm các cảnh báo bảo mật công khai của dự án, ghi nhận Fields vì đã tiết lộ một cách có trách nhiệm.
Các quy tắc đồng thuận của Bitcoin không bị ảnh hưởng, vì lỗi này chỉ giới hạn trong việc xử lý bộ nhớ phần mềm của node và không gây ra thay đổi nào đối với hành vi trên chuỗi.
Tuy nhiên, việc tiết lộ đi kèm với một cảnh báo không thoải mái.
Theo một ước tính được trích dẫn rộng rãi dựa trên bảng điều khiển của Clark Moody, khoảng 43% các node Bitcoin (BTC) có thể vẫn đang chạy phần mềm trước phiên bản 29 và vẫn có nguy cơ bị ảnh hưởng.
Việc tiết lộ lỗ hổng này cũng làm tăng thêm sự tập trung cao độ vào bảo mật cơ sở hạ tầng của Bitcoin.
Vào tháng 4, các nhà nghiên cứu đã đề xuất BIP-361 để loại bỏ dần các loại chữ ký cũ như một biện pháp phòng ngừa các mối đe dọa từ máy tính lượng tử, như The Block đã báo cáo trước đây.
Một đề xuất riêng biệt từ Paradigm Research kể từ đó đã đưa ra một cơ chế thay thế để bảo vệ các đồng tiền từ thời Satoshi đang không hoạt động mà không bắt buộc di chuyển địa chỉ.
Tuyên bố miễn trừ trách nhiệm: The Block là một cơ quan truyền thông độc lập chuyên cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư chính của The Block. Foresight Ventures đầu tư vào các công ty khác trong không gian tiền điện tử. Sàn giao dịch tiền điện tử Bitget là một LP neo cho Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành tiền điện tử. Dưới đây là các tiết lộ tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định sử dụng làm lời khuyên pháp lý, thuế, đầu tư, tài chính hoặc các lời khuyên khác.
