Bitcoin Core deckt einen Fehler auf, der es Minern ermöglichen könnte, Knoten zum Absturz zu bringen

Entwickler von Bitcoin Core haben einen schwerwiegenden Fehler offengelegt, der es Minern ermöglichen könnte, einige Bitcoin-Knoten aus der Ferne zum Absturz zu bringen.
Zusammenfassung

• Bitcoin Core machte CVE-2024-52911 öffentlich, betroffen waren Versionen vor 29.0, wobei ältere Knoten weiterhin online angreifbar waren.
• Miner benötigten kostspielige Proof-of-Work-Blöcke, um Abstürze auszulösen, wodurch Missbrauch in der realen Welt für Angreifer historisch gesehen unwahrscheinlich war.
• Cory Fields meldete den Fehler 2024 privat, bevor Bitcoin Core 29.0 gepatchte Software veröffentlichte.

Das Problem, geführt unter CVE-2024-52911, betraf Bitcoin-Core-Versionen nach 0.14.0 und vor 29.0. Der Fehler wurde in Bitcoin Core 29.0 behoben, das im April 2025 veröffentlicht wurde.

Bitcoin Core machte die Angelegenheit am 5. Mai 2026 öffentlich, nachdem die letzte verwundbare Release-Linie 28.x am 19. April das End-of-Life erreicht hatte.

Fehler betraf die Blockvalidierung

Das Problem betraf den Script-Interpreter von Bitcoin Core während der Blockvalidierung. Bitcoin Core sagte, ein speziell präparierter Block könne dazu führen, dass ein Knoten auf Speicher zugreift, nachdem diese Daten bereits freigegeben worden waren.

Während der Validierung berechnet Bitcoin Core vorab Transaktionseingabedaten und sendet Script-Prüfungen an Hintergrund-Threads. In einigen Fällen könne ein ungültiger Block zwischengespeicherte Daten zerstören, während ein anderer Thread sie noch zu lesen versuchte.

Bitcoin Core sagte, dies könne es einem Angreifer ermöglichen, mit genug Proof-of-Work, um Zielknoten zum Absturz zu bringen. Außerdem sagte das Unternehmen, es sei „möglich“, dass der Absturz eine Remote-Code-Ausführung unterstützen könnte, allerdings machten die Grenzen bei den Blockdaten dieses Ergebnis „unwahrscheinlich“.

Angriff erforderte kostspieliges Mining

Der Angriff war nicht so einfach durchzuführen. Ein Miner müsste einen speziell präparierten Block erzeugen, der genug Proof-of-Work aufbringt, um die Chain-Tip zu erreichen.

Das machte den Angriff kostspielig, weil ein solcher Block ungültig wäre. Er konnte keine normale Blockbelohnung einbringen, sodass der Angreifer Hashpower aufwenden müsste, ohne die übliche Mining-Auszahlung einzusammeln.

Bitcoin Core sagte nicht, dass der Fehler in echten Angriffen genutzt worden sei. Die Mitteilung konzentrierte sich auf den Fehler, die Behebung und den Zeitpunkt der Offenlegung.

Der Fehler änderte Bitcoins Konsensregeln nicht. Er hing mit dem Umgang mit Speicher in der Bitcoin-Core-Software zusammen, nicht mit den Regeln, die gültige Bitcoin-Transaktionen oder -Blöcke definieren.

Cory Fields meldete den Fehler

Cory Fields von der MIT Digital Currency Initiative meldete den Fehler privat am 2. Nov. 2024. Bitcoin Core sagte, der Bericht habe einen Proof-of-Concept sowie einen Vorschlag enthalten, wie das Risiko reduziert werden könne.

Pieter Wuille brachte vier Tage später eine verdeckte Behebung per PR 31112 ein. Der Pull Request wurde am 3. Dez. 2024 zusammengeführt, bevor Bitcoin Core 29.0 im April 2025 mit der Behebung ausgeliefert wurde.

Die Advisory folgte der Offenlegungsrichtlinie von Bitcoin Core für Fehler mit hoher Schwere. In der Richtlinie heißt es, dass Probleme mit hoher Schwere offengelegt werden, nachdem die letzte betroffene Release-Version das End-of-Life erreicht hat.

Zusätzlich sind Betreibende von Knoten, die Bitcoin-Core-Versionen vor 29.0 nutzen, weiterhin dem alten Fehler ausgesetzt. Bitcoin Core aktualisiert nicht automatisch, daher müssen Nutzer neuere Versionen manuell installieren.

Ein früherer Bericht zu Risiken der Blockchain-Dezentralisierung nannte eine Studie, nach der im Juni 2021 21% der Bitcoin-Knoten veraltete Bitcoin-Core-Software ausführten. Dieser Kontext zeigt, warum ältere Client-Versionen trotz veröffentlichter Fixes lange Zeit ein Sicherheitsrisiko bleiben können.