Bitcoin Core izstrādātāji ir novērsuši kritisku ievainojamību
Bitcoin Core izstrādātāju komanda ir novērsusi kļūdu, kas saistīta ar atmiņas drošību. Liela daļa nodes joprojām darbojas ar ievainojamu programmatūru.
Kļūdu atklāja pētnieks Korijs Fīldss, kurš par to pirmo reizi ziņoja 2024. gada 2. novembrī. Pēc dažām dienām programmētājs Pīters Vuille izlaida slēptu labojumu. Lai nepievērstu lieku uzmanību, tas tika publicēts ar neitrālu nosaukumu kā kārtējais uzlabojums paralēlajai skriptu pārbaudei.
Labojums tika integrēts koda bāzē 2024. gada decembrī un iekļauts Bitcoin Core 29.0 versijā, kas tika izlaista 2025. gada aprīlī. Pēdējā ievainojamā versija 28.x sasniedza dzīves cikla beigas 2026. gada 19. aprīlī, un tikai pēc tam izstrādātāji publiskoja detaļas.
Bitcoin Core uzsver, ka ievainojamība neietekmēja blokķēdes konsensa noteikumus un bija saistīta tikai ar lokālu atmiņas apstrādi programmatūrā.
A new high severity level advisory has been posted:https://t.co/zBboOF1IJC
— Bitcoin Core Project (@bitcoincoreorg) May 5, 2026
Kāda bija problēma
Šī bija pirmā atmiņas drošības kļūda (memory safety bug) Bitcoin Core vēsturē. Noteiktos apstākļos maineris varēja izveidot īpaši konstruētu nederīgu bloku, kas paralēlās skriptu pārbaudes laikā varēja izraisīt node avāriju.
Teorētiski šī problēma varēja pavērt ceļu arī attālinātai koda izpildei (remote code execution), ja atmiņas stāvoklis kļūtu nekorekts. Bitcoin Core pārstāvji šo scenāriju uzskatīja par maz ticamu, taču risku novērtēja kā augstu.
Uzbrukumu lielā mērā ierobežoja ekonomiskais faktors, lai izmantotu šo ievainojamību, uzbrucējam būtu jāpatērē liels hash jaudas resurss nederīgu bloku mainingam, nesaņemot par to atlīdzību. Izstrādātāji kļūdu ir novērsuši, taču ievērojama daļa tīkla vēl nav atjauninājusies. Saskaņā ar Clark Moody datiem aptuveni 43% Bitcoin nodes joprojām darbojas ar vecākām klientu versijām.
Šis gadījums labi parāda, cik svarīga ir savlaicīga programmatūras atjaunināšana pat tik stabilā un pārbaudītā sistēmā kā Bitcoin. Lai arī konkrētā ievainojamība netika izmantota plaša mēroga uzbrukumos un bija ierobežota ar ekonomiskiem faktoriem, pats fakts, ka gandrīz puse tīkla joprojām izmanto novecojušas versijas, teorētiski, tomēr rada potenciālu risku.
Bitcoin drošība lielā mērā balstās ne tikai uz protokolu, bet arī uz tā dalībnieku disciplīnu. Tāpēc šis gadījums kalpo kā atgādinājums, decentralizācija nenozīmē pilnīgu automātisku drošību. Tā prasa arī aktīvu iesaisti no lietotājiem un infrastruktūras uzturētājiem.
Ja šoreiz viss beidzās bez sekām, tas nenozīmē, ka tā būs vienmēr. Tieši šādi “klusie” incidenti vislabāk parāda, cik svarīgi ir sekot līdzi izmaiņām un uzturēt sistēmu aktuālu.
