Les développeurs de Bitcoin Core ont divulgué un bug d’une sévérité élevée qui pourrait permettre aux mineurs de faire planter à distance certains nœuds Bitcoin.
Résumé
- Bitcoin Core a divulgué la CVE-2024-52911, touchant les versions antérieures à la 29.0, des nœuds plus anciens restant exposés en ligne.
- Les mineurs avaient besoin de blocs de preuve de travail coûteux pour déclencher les plantages, rendant les abus dans le monde réel historiquement peu probables pour les attaquants.
- Cory Fields a signalé le bug en privé en 2024, avant la sortie de Bitcoin Core 29.0 avec le correctif.
Le problème, suivi sous la référence CVE-2024-52911, a touché les versions de Bitcoin Core après la 0,14.0 et avant la 29.0. Le bug a été corrigé dans Bitcoin Core 29.0, publié en avril 2025.
Bitcoin Core a rendu le problème public le 5 mai 2026, après que la dernière branche de versions vulnérables 28.x est arrivée en fin de vie le 19 avril.
Le bug affectait la validation des blocs
Le problème concernait l’interpréteur de script de Bitcoin Core lors de la validation des blocs. Bitcoin Core a déclaré qu’un bloc spécialement conçu pourrait amener un nœud à accéder à de la mémoire après que ces données avaient déjà été libérées.
Lors de la validation, Bitcoin Core calcule à l’avance les données d’entrée des transactions et envoie les vérifications de script à des threads en arrière-plan. Dans certains cas, un bloc invalide pouvait détruire des données mises en cache pendant qu’un autre thread essayait encore de les lire.
Bitcoin Core a déclaré que cela pourrait permettre à un attaquant disposant de suffisamment de preuve de travail de faire planter les nœuds de la victime. Il a aussi indiqué que « il est possible » que le plantage puisse soutenir une exécution de code à distance, bien que les limites sur les données du bloc rendent ce résultat « improbable ».
L’attaque nécessitait un minage coûteux
L’attaque n’était pas simple à réaliser. Un mineur devrait produire un bloc spécialement conçu avec assez de preuve de travail pour atteindre le sommet de chaîne.
Cela rendait l’attaque coûteuse car un tel bloc serait invalide. Il ne pouvait pas obtenir une récompense normale de bloc, obligeant l’attaquant à dépenser de la puissance de hachage sans encaisser la rémunération de minage habituelle.
Bitcoin Core n’a pas déclaré que le bug avait été utilisé dans des attaques réelles. L’avis met l’accent sur la faille, le correctif et la chronologie de divulgation.
Le bug ne changeait pas les règles de consensus de Bitcoin. Il était lié à la gestion de la mémoire dans le logiciel Bitcoin Core, et non aux règles qui définissent quelles transactions ou quels blocs Bitcoin sont valides.
Cory Fields a signalé la faille
Cory Fields, de la MIT Digital Currency Initiative, a signalé en privé le bug le 2 nov. 2024. Bitcoin Core a déclaré que le signalement incluait une preuve de concept et une manière proposée de réduire le risque.
Pieter Wuille a poussé un correctif discret quatre jours plus tard via la PR 31112. La requête a été fusionnée le 3 déc. 2024, avant que Bitcoin Core 29.0 ne soit publié avec le correctif en avril 2025.
L’avis a suivi la politique de divulgation de Bitcoin Core pour les bugs de sévérité élevée. Sa politique indique que les problèmes de sévérité élevée sont divulgués après la mise en fin de vie de la dernière version concernée.
En plus, les opérateurs de nœuds utilisant des versions de Bitcoin Core antérieures à la 29.0 sont encore exposés au bug ancien. Bitcoin Core ne met pas à jour automatiquement, donc les utilisateurs doivent installer manuellement des versions plus récentes.
Un rapport précédent sur les risques liés à la décentralisation de la blockchain a cité une recherche indiquant que 21% des nœuds Bitcoin utilisaient un logiciel Bitcoin Core obsolète en juin 2021. Ce contexte montre pourquoi les anciennes versions clientes peuvent rester une préoccupation de sécurité longtemps après que les correctifs sont déployés.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Core Scientific acquiert le mineur de Bitcoin Polaris pour 421 millions de dollars, étend ses opérations de centres de données d’IA
Selon The Block, Core Scientific a acquis Polaris DS LLC pour environ 421 millions de dollars aujourd’hui (6 mai), en obtenant un contrat d’alimentation de 440 mégawatts avec Oklahoma Gas & Electric afin de développer son activité d’hébergement pour l’IA et le calcul haute performance. L’installation Polaris, située dans l’Oklahoma et
GateNewsIl y a 2h
Top 3 des cryptos par hausse de capitalisation boursière jusqu’à 36 % aujourd’hui ; ZEC en tête, TON en hausse de 25,24 %
D’après les données de CoinMarketCap, aujourd’hui (6 mai), les trois plus fortes hausses parmi les 100 premières cryptomonnaies par capitalisation boursière étaient Zcash (ZEC), en hausse de 36 % à 586,42 $ ; Toncoin (TON), en hausse de 25,24 % à 2,3 $ ; et Dash (DASH), en hausse de 21,47 % à 55,22 $.
GateNewsIl y a 2h
Le directeur technique de CleanSpark : l’infrastructure IA/HPC nécessite davantage de ressources réseau que l’extraction minière de Bitcoin
D'après un entretien de CoinDesk, le directeur technologique de CleanSpark, Taylor Monnig, a déclaré que la transition de l'exploitation minière de Bitcoin vers une infrastructure IA/HPC nécessite davantage de redondance et moins d'improvisation. « Le réseau par fibre d'un seul rack dépasse celui d'une installation minière de Bitcoin entière », Monnig
GateNewsIl y a 2h
21Shares inscrit l’ETN Strategy Yield à la London Stock Exchange, offrant un rendement de 11,50 %
Selon The Block, 21Shares a lancé son Strategy Yield ETN (STRC) à la Bourse de Londres mercredi (6 mai), qui suit la perpetual preferred equity liée à la politique de réserve axée sur le bitcoin de la société, de Strategy Inc. Strategy, le plus grand détenteur d’entreprise de bitcoin au monde avec 818 334 B
GateNewsIl y a 2h
CleanSpark vend 748 BTC en avril, ses avoirs chutent à 13 453
D’après les données opérationnelles d’avril non auditées de CleanSpark publiées le 6 mai, le mineur de bitcoin a vendu 748 BTC au cours du mois, ramenant ses avoirs totaux à 13 453 BTC. La société a miné 640 BTC en avril, mais a cédé plus que cela.
GateNewsIl y a 3h
Bitcoin atteint une série de financement négatif de 67 jours tandis que K33 signale un risque de squeeze à la baisse
Bitcoin (BTC) s’est échangé au-dessus de 82 000 dollars mercredi, atteignant son plus haut niveau depuis plus de trois mois, tandis que la plus longue série de taux de financement négatifs de la décennie pourrait amplifier le risque de squeeze sur les positions courtes, selon les recherches et la société de courtage K33. Les 67 jours consécutifs de taux de financement moyens sur 30 jours négatifs
CryptoFrontierIl y a 3h
