Key Takeaways
- 比特币核心披露了一个高危内存漏洞 CVE-2024-52911,影响版本为 0.14.0 至 28.x。
- 该漏洞允许矿工利用特制的无效区块使受影响节点崩溃,且存在极小的远程代码执行风险。
- 虽然修复补丁已随 2025 年 4 月发布的 29.0 版本推出,但据估计仍有 43% 的比特币节点运行受影响软件。
返回
返回
比特币核心漏洞导致 43% 的节点面临远程崩溃风险
根据开发者于 2026 年 5 月 6 日发布的公开披露,比特币网络的主要客户端软件——比特币核心(Bitcoin Core)存在一个高危漏洞,可能允许矿工导致未打补丁的节点崩溃。据估计,仍有 43% 的网络节点面临风险,尽管该漏洞在一年多前就已完成修复。
官方公告显示,该漏洞编号为 CVE-2024-52911,是由麻省理工学院(MIT)数字货币倡议组织的 Cory Fields 发现的一个“释放后重用”(use-after-free)内存错误。Fields 于 2024 年 11 月 2 日秘密报告了此问题,使开发者能在恶意行为者利用之前悄悄发布修复程序。
该漏洞影响从 0.14.0 到 28.x 的所有比特币核心版本。如果拥有足够算力的矿工提交一个特制的无效区块,就可能触发该漏洞,导致受影响节点崩溃。由于该缺陷属于内存错误,披露声明指出虽然可能性较低,但仍存在远程代码执行的风险。修复补丁已包含在 2025 年 4 月发布的比特币核心 29.0 版本中。
主要风险在于网络稳定性,因为成功的攻击可能导致大部分节点离线。攻击行为本身存在内置约束力,即攻击成本极高:矿工需要消耗巨大的工作量证明资源来挖掘一个无效区块,且无法获得任何区块奖励。然而,根据 Clark Moody 仪表板的数据,目前仍有约 43% 的节点运行受影响软件,这凸显了在去中心化生态系统中协调更新的持续挑战。
负责任的披露机制
CVE-2024-52911 的处理过程是负责任披露的典型案例。在 2024 年 11 月收到秘密报告后,比特币核心开发者 Pieter Wuille 仅在四天后就提交了一个隐蔽的修复程序,并刻意进行了模糊处理,以避免向潜在攻击者暴露漏洞。该修复程序于 2024 年 12 月合并,并于 2025 年 4 月正式发布。开发者一直等到 2026 年 5 月,即最后一个受影响的软件版本 28.x 官方停止维护后,才进行了公开披露。
开发者 Niklas Gögge 在 X 平台上指出,这是该项目约两年来的公开安全公告中“首个内存安全问题”,并对 Fields 在负责任披露过程中的贡献表示感谢。该漏洞并未影响比特币的共识规则,也未引入任何链上更改。
这一事件强调了节点运营商及时将软件更新至最新版本的重要性,以确保网络的安全性与稳定性。
本文仅供参考,不构成投资建议。
