Bitcoin Core mengungkap bug yang dapat membuat penambang menjatuhkan node

Pengembang Bitcoin Core mengungkapkan bug ber-severitas tinggi yang dapat memungkinkan penambang meremot untuk menjatuhkan beberapa node Bitcoin.
Ringkasan

• Bitcoin Core mengungkap CVE-2024-52911, yang berdampak pada versi sebelum 29.0, sementara node-node lama masih terekspos secara online.
• Penambang memerlukan blok bukti kerja yang mahal untuk memicu crash, sehingga penyalahgunaan dunia nyata secara historis tidak mungkin bagi penyerang.
• Cory Fields melaporkan bug tersebut secara privat pada 2024, sebelum perangkat lunak perbaikan dari Bitcoin Core 29.0 dirilis.

Masalah ini, yang dilacak sebagai CVE-2024-52911, memengaruhi versi Bitcoin Core setelah 0,14.0 dan sebelum 29.0. Bug tersebut diperbaiki di Bitcoin Core 29.0, yang dirilis pada April 2025.

Bitcoin Core membuat isu ini dipublikasikan pada 5 Mei 2026, setelah lini rilis 28.x yang masih rentan mencapai akhir masa pakai pada 19 April.

Bug memengaruhi validasi blok

Masalah ini melibatkan interpreter skrip Bitcoin Core saat validasi blok. Bitcoin Core mengatakan blok yang dirancang khusus dapat menyebabkan node mengakses memori setelah data tersebut sudah dibebaskan.

Saat validasi, Bitcoin Core menghitung terlebih dulu data input transaksi dan mengirim pemeriksaan skrip ke thread latar. Dalam beberapa kasus, blok yang tidak valid dapat merusak data cache sementara thread lain masih mencoba membacanya.

Bitcoin Core mengatakan ini dapat memungkinkan penyerang dengan cukup bukti kerja untuk menjatuhkan node korban. Bitcoin Core juga mengatakan “mungkin” crash tersebut dapat mendukung eksekusi kode jarak jauh, meski batasan pada data blok membuat hasil itu “tidak mungkin”.

Serangan butuh penambangan yang mahal

Serangan ini tidak mudah dilakukan. Seorang penambang perlu menghasilkan blok yang dirancang khusus dengan bukti kerja yang cukup untuk mencapai ujung rantai.

Itu membuat serangan menjadi mahal karena blok semacam itu akan tidak valid. Blok tersebut tidak bisa memperoleh imbalan blok normal, sehingga penyerang harus menghabiskan daya hash tanpa mengumpulkan pembayaran penambangan yang biasa.

Bitcoin Core tidak mengatakan bug itu pernah digunakan dalam serangan dunia nyata. Penasihat tersebut berfokus pada cacatnya, perbaikannya, serta garis waktu pengungkapan.

Bug ini tidak mengubah aturan konsensus Bitcoin. Bug ini terkait penanganan memori dalam perangkat lunak Bitcoin Core, bukan aturan yang menentukan transaksi atau blok Bitcoin yang valid.

Cory Fields melaporkan cacatnya

Cory Fields dari MIT Digital Currency Initiative melaporkan bug tersebut secara privat pada 2 Nov. 2024. Bitcoin Core mengatakan laporan itu mencakup bukti konsep dan cara yang diusulkan untuk mengurangi risiko.

Pieter Wuille mendorong perbaikan yang bersifat tertutup empat hari kemudian melalui PR 31112. Permintaan tarik tersebut digabung pada 3 Des. 2024, sebelum Bitcoin Core 29.0 dirilis pada April 2025 dengan perbaikan tersebut.

Penasihat itu mengikuti kebijakan pengungkapan Bitcoin Core untuk bug ber-severitas tinggi. Kebijakannya menyatakan isu ber-severitas tinggi diungkap setelah rilis terakhir yang terdampak mencapai akhir masa pakai.

Selain itu, operator node yang menggunakan versi Bitcoin Core sebelum 29.0 masih menghadapi bug lama. Bitcoin Core tidak melakukan pembaruan otomatis, jadi pengguna harus memasang versi yang lebih baru secara manual.

Laporan sebelumnya tentang risiko desentralisasi blockchain menyebut riset bahwa 21% node Bitcoin menjalankan perangkat lunak Bitcoin Core yang sudah ketinggalan pada Juni 2021. Konteks ini menunjukkan mengapa versi klien yang lebih lama bisa tetap menjadi masalah keamanan jauh setelah perbaikan dikirim.