Bitcoin Core divulga um bug que poderia permitir que os mineradores derrubassem nós

Os programadores do Bitcoin Core divulgaram um bug de alta gravidade que poderia permitir a mineradores o colapso remoto de alguns nós do Bitcoin.
Resumo

• O Bitcoin Core divulgou a CVE-2024-52911, que afeta versões anteriores à 29.0, com nós antigos ainda expostos online.
• Os mineradores precisavam de blocos de prova-de-trabalho (proof-of-work) dispendiosos para despoletar as falhas, tornando historicamente pouco provável o abuso em ambiente real por parte de atacantes.
• Cory Fields comunicou privadamente o bug em 2024, antes do Bitcoin Core 29.0 ser lançado com software corrigido.

O problema, acompanhado como CVE-2024-52911, afetou versões do Bitcoin Core após a 0.14.0 e antes da 29.0. O bug foi corrigido no Bitcoin Core 29.0, lançado em abril de 2025.

O Bitcoin Core tornou o problema público a 5 de maio de 2026, depois de a última linha de versões vulneráveis 28.x ter atingido o fim de vida a 19 de abril.

Bug afetou a validação de blocos

O problema envolvia o interpretador de scripts do Bitcoin Core durante a validação de blocos. O Bitcoin Core afirmou que um bloco especialmente preparado podia fazer um nó aceder à memória depois de esses dados já terem sido libertados.

Durante a validação, o Bitcoin Core pré-calcula os dados de entrada das transações e envia verificações de scripts para threads em segundo plano. Em alguns casos, um bloco inválido podia destruir dados em cache enquanto outra thread ainda tentava lê-los.

O Bitcoin Core disse que isto poderia permitir que um atacante com prova-de-trabalho suficiente colapsasse nós-alvo. Também afirmou que “é possível” que a falha suportasse execução remota de código, embora as limitações nos dados do bloco tornassem esse resultado “improvável”.

Ataque exigia mineração dispendiosa

O ataque não era simples de executar. Um minerador teria de produzir um bloco especialmente preparado com prova-de-trabalho suficiente para atingir a ponta da cadeia.

Isso tornava o ataque dispendioso porque tal bloco seria inválido. Não conseguiria obter a recompensa normal de bloco, deixando o atacante a gastar capacidade de hashpower sem recolher o pagamento habitual da mineração.

O Bitcoin Core não disse que o bug tenha sido usado em ataques reais. O aviso centrou-se na falha, na correção e na cronologia da divulgação.

O bug não alterou as regras de consenso do Bitcoin. Estava relacionado com o manuseamento de memória no software do Bitcoin Core, não com as regras que definem transações ou blocos válidos.

Cory Fields comunicou a falha

Cory Fields, da MIT Digital Currency Initiative, comunicou a falha em privado a 2 de novembro de 2024. O Bitcoin Core disse que o relatório incluía uma prova de conceito e uma forma proposta de reduzir o risco.

Pieter Wuille avançou com uma correção encoberta quatro dias depois através do PR 31112. O pedido de extração foi fundido a 3 de dezembro de 2024, antes do Bitcoin Core 29.0 ser lançado em abril de 2025 com a correção incluída.

O aviso seguiu a política de divulgação do Bitcoin Core para bugs de alta gravidade. A sua política afirma que os problemas de alta gravidade são divulgados após a última versão afetada atingir o fim de vida.

Além disso, os operadores de nós que utilizam versões do Bitcoin Core anteriores à 29.0 continuam a enfrentar o bug antigo. O Bitcoin Core não faz atualização automática, pelo que os utilizadores têm de instalar manualmente versões mais recentes.

Um relatório anterior sobre riscos de descentralização na blockchain citou investigação que indicava que 21% dos nós do Bitcoin executavam software do Bitcoin Core desatualizado em junho de 2021. Esse contexto mostra por que razão versões de clientes mais antigas podem continuar a ser uma preocupação de segurança muito depois de as correções serem disponibilizadas.