Lỗi Bitcoin Core khiến 43% nút mạng có nguy cơ bị sập từ xa

Một lỗ hổng bảo mật nghiêm trọng cao trong Bitcoin Core, phần mềm khách chính của mạng lưới Bitcoin, có thể cho phép thợ đào làm sập các nút chưa được vá, theo một tiết lộ công khai từ các nhà phát triển vào ngày 6 tháng 5 năm 2026. Ước tính có khoảng 43% các nút mạng vẫn đang gặp nguy hiểm trước lỗi này, mặc dù nó đã được vá từ hơn một năm trước.

Lỗ hổng, được gắn nhãn CVE-2024-52911, là một lỗi bộ nhớ “use-after-free” được phát hiện bởi Cory Fields thuộc Sáng kiến Tiền kỹ thuật số của MIT, theo thông báo chính thức. Fields đã báo cáo vấn đề này một cách riêng tư vào ngày 2 tháng 11 năm 2024, cho phép các nhà phát triển âm thầm đưa ra bản vá trước khi những kẻ xấu có thể khai thác nó.

Lỗi này ảnh hưởng đến tất cả các phiên bản Bitcoin Core từ 0.14.0 đến 28.x. Nó có thể bị kích hoạt nếu một thợ đào có đủ sức mạnh tính toán gửi một khối không hợp lệ được tạo đặc biệt, khiến các nút dễ bị tổn thương bị sập. Vì đây là một lỗi bộ nhớ, thông báo tiết lộ cho biết khả năng thực thi mã từ xa là có thể xảy ra, mặc dù không chắc chắn. Bản vá đã được đưa vào phiên bản Bitcoin Core 29.0, phát hành vào tháng 4 năm 2025.

Rủi ro chính nằm ở sự ổn định của mạng lưới, vì một cuộc khai thác thành công có thể khiến một phần đáng kể các nút ngoại tuyến. Công cụ ngăn chặn tích hợp của cuộc tấn công này chính là chi phí: một thợ đào sẽ cần tiêu tốn nguồn lực proof-of-work đáng kể để đào một khối không hợp lệ, đồng thời từ bỏ bất kỳ phần thưởng khối nào. Tuy nhiên, với khoảng 43% các nút vẫn chạy phần mềm lỗi thời theo dữ liệu từ bảng điều khiển của Clark Moody, tiết lộ này làm nổi bật thách thức không ngừng trong việc phối hợp cập nhật trong một hệ sinh thái phi tập trung.

Quy trình tiết lộ có trách nhiệm

Việc xử lý CVE-2024-52911 đóng vai trò như một nghiên cứu điển hình về việc tiết lộ có trách nhiệm. Sau báo cáo riêng tư vào tháng 11 năm 2024, nhà phát triển Bitcoin Core Pieter Wuille đã gửi một bản vá ngầm chỉ bốn ngày sau đó, cố tình dán nhãn sai để tránh cảnh báo lỗ hổng cho những kẻ tấn công tiềm năng. Bản vá đã được hợp nhất vào tháng 12 năm 2024 và phát hành vào tháng 4 năm 2025. Các nhà phát triển đã chờ đến tháng 5 năm 2026 mới công bố công khai, sau khi phiên bản phần mềm dễ bị tổn thương cuối cùng, 28.x, chính thức hết hạn hỗ trợ.

Trong một bài đăng trên X, nhà phát triển Niklas Gögge lưu ý rằng đây là "vấn đề an toàn bộ nhớ đầu tiên" trong khoảng hai năm qua của các thông báo bảo mật công khai của dự án, ghi nhận công lao của Fields cho quy trình tiết lộ có trách nhiệm. Lỗi này không ảnh hưởng đến các quy tắc đồng thuận của Bitcoin hoặc tạo ra bất kỳ thay đổi on-chain nào.

Sự cố này nhấn mạnh tầm quan trọng cốt yếu đối với những người vận hành nút trong việc cập nhật phần mềm lên phiên bản mới nhất để đảm bảo tính an ninh và ổn định của mạng lưới.

Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.