Los desarrolladores de Bitcoin Core revelaron un fallo de alta severidad que podría permitir que los mineros bloqueen de forma remota algunos nodos de Bitcoin.
Resumen

Bitcoin Core divulgó la CVE-2024-52911, que afecta a versiones anteriores a la 29.0, y con nodos antiguos aún expuestos en línea.
Los mineros necesitaban bloques de prueba de trabajo con un coste elevado para provocar los bloqueos, lo que hacía históricamente poco probable el abuso en el mundo real para los atacantes.
Cory Fields reportó el fallo de forma privada en 2024, antes de que Bitcoin Core 29.0 publicara el software corregido.

El problema, registrado como CVE-2024-52911, afectó a las versiones de Bitcoin Core posteriores a la 0.14.0 y anteriores a la 29.0. El fallo se corrigió en Bitcoin Core 29.0, que se lanzó en abril de 2025.

Bitcoin Core hizo público el asunto el 5 de mayo de 2026, después de que la última línea de versiones vulnerables 28.x alcanzara el fin de su vida útil el 19 de abril.

El fallo afectó la validación de bloques

El problema involucró el intérprete de scripts de Bitcoin Core durante la validación del bloque. Bitcoin Core dijo que un bloque especialmente elaborado podría hacer que un nodo accediera a memoria después de que esos datos ya se hubieran liberado.

Durante la validación, Bitcoin Core precalcula los datos de entrada de las transacciones y envía las comprobaciones de scripts a subprocesos en segundo plano. En algunos casos, un bloque inválido podía destruir datos almacenados en caché mientras otro subproceso aún intentaba leerlos.

Bitcoin Core dijo que esto podría permitir que un atacante con suficiente prueba de trabajo bloquee nodos de la víctima. También dijo que “es posible” que el bloqueo pudiera respaldar la ejecución remota de código, aunque las limitaciones de datos del bloque hacían que ese resultado “sea improbable”.

El ataque requería minería costosa

El ataque no era sencillo de ejecutar. Un minero necesitaría producir un bloque especialmente elaborado con suficiente prueba de trabajo para llegar a la punta de la cadena.

Eso hacía que el ataque fuera costoso porque dicho bloque sería inválido. No podía obtener una recompensa normal de bloque, dejando al atacante gastar potencia de hash sin cobrar la ganancia habitual de la minería.

Bitcoin Core no dijo que el fallo hubiera sido usado en ataques reales. El aviso se centró en la vulnerabilidad, la corrección y la cronología de la divulgación.

El fallo no cambió las reglas de consenso de Bitcoin. Estaba relacionado con el manejo de memoria en el software de Bitcoin Core, no con las reglas que definen transacciones o bloques válidos de Bitcoin.

Cory Fields reportó la falla

Cory Fields, del MIT Digital Currency Initiative, reportó el fallo de forma privada el 2 de nov. de 2024. Bitcoin Core dijo que el informe incluía una prueba de concepto y una forma propuesta de reducir el riesgo.

Pieter Wuille impulsó una corrección encubierta cuatro días después mediante la PR 31112. La solicitud de extracción se fusionó el 3 de dic. de 2024, antes de que Bitcoin Core 29.0 publicara la corrección en abril de 2025.

El aviso siguió la política de divulgación de Bitcoin Core para fallos de alta severidad. Su política indica que los problemas de alta severidad se divulgan después de que la última versión afectada alcance el fin de su vida útil.

Además, los operadores de nodos que usan versiones de Bitcoin Core anteriores a la 29.0 aún se enfrentan al fallo antiguo. Bitcoin Core no se actualiza automáticamente, por lo que los usuarios deben instalar manualmente versiones más recientes.

Un informe previo sobre riesgos de descentralización en blockchain citó una investigación que señalaba que el 21% de los nodos de Bitcoin ejecutaban software desactualizado de Bitcoin Core en junio de 2021. Ese contexto muestra por qué las versiones antiguas del cliente pueden seguir siendo una preocupación de seguridad mucho tiempo después de que se publiquen las correcciones.

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.