Các phiên bản Bitcoin Core dưới 24.0.1 có lỗ hổng rủi ro cao, ảnh hưởng đến 17% full node

Tin tức BlockBeats, vào ngày 20 tháng 9, theo báo cáo của Protos, các nhà phát triển Bitcoin Core đã đưa ra một cảnh báo rủi ro cao mới, nói rằng cứ sáu nút Bitcoin thì có một nút có lỗ hổng phần mềm. Vào thứ Năm, nhân viên của dự án Bitcoin Core nguồn mở, nơi duy trì phần mềm chạy trên hơn 98% các nút đầy đủ có thể truy cập, đã tiết lộ một vấn đề bảo mật lớn với phần mềm chạy trên 17% số nút của mạng. Cụ thể, tất cả phần mềm cũ hơn Bitcoin Core phiên bản 24.0.1 đều gặp rủi ro. Theo ước tính giám sát của Bitnodes, lỗ hổng từ chối dịch vụ này ảnh hưởng đến khoảng 3.330 trong số 19.200 tác nhân người dùng tự xưng có thể truy cập được vào các nút đầy đủ của Bitcoin.

Trong phần mềm Bitcoin Core trước phiên bản 24.0.1, những kẻ độc hại có thể sử dụng chuỗi tiêu đề có độ khó thấp để spam các nút. Bằng cách buộc các nút tải xuống và lưu trữ chuỗi tiêu đề cực dài, các cuộc tấn công có thể làm hỏng các nút do tiêu tốn quá nhiều băng thông hoặc dung lượng lưu trữ của thiết bị. Các nhà phát triển đã sửa lỗ hổng trong yêu cầu kéo Bitcoin Core (PR) số 25717 và hợp nhất nó vào sản xuất với việc phát hành v24.0.1 vào ngày 12 tháng 12 năm 2022. Phiên bản phần mềm nút Bitcoin Core hiện tại (hiện tại là 27.1) chứa các bản sửa lỗi cho lỗ hổng này và các lỗ hổng khác.

Mặc dù lỗ hổng này khá nghiêm trọng nhưng có rất ít cuộc tấn công được biết đến khai thác lỗ hổng này trong hồ sơ công khai. Do chi phí tạo và phát sóng chuỗi tiêu đề khối để thực hiện cuộc tấn công từ chối dịch vụ khá cao nên lỗ hổng này mang lại rất ít lợi ích tài chính cho kẻ tấn công.