Bitcoin Core deckt einen Fehler auf, der es Minern ermöglichen könnte, Knoten zum Absturz zu bringen

Bitcoin-Core-Entwickler haben einen Fehler mit hoher Schwere offengelegt, der es Minern ermöglichen könnte, einige Bitcoin-Knoten remote zum Absturz zu bringen.
Zusammenfassung

• Bitcoin Core machte CVE-2024-52911 bekannt, betroffen sind Versionen vor 29.0, wobei ältere Knoten weiterhin online angreifbar waren.
• Miner benötigten teure Proof-of-Work-Blöcke, um Crashes auszulösen, wodurch ein Missbrauch in der realen Welt für Angreifer historisch eher unwahrscheinlich gewesen sein dürfte.
• Cory Fields meldete den Fehler 2024 privat, bevor Bitcoin Core 29.0 gepatchte Software veröffentlichte.

Das Problem, geführt unter CVE-2024-52911, betraf Bitcoin-Core-Versionen nach 0.14.0 und vor 29.0. Der Fehler wurde in Bitcoin Core 29.0 behoben, das im April 2025 veröffentlicht wurde.

Bitcoin Core machte das Thema am 5. Mai 2026 öffentlich, nachdem die letzte verwundbare 28.x-Release-Linie am 19. April das Lebensende erreicht hatte.

Fehler betraf die Blockvalidierung

Das Problem betraf den Script-Interpreter von Bitcoin Core während der Blockvalidierung. Bitcoin Core sagte, ein speziell präparierter Block könne dazu führen, dass ein Knoten auf Speicher zugreift, nachdem diese Daten bereits freigegeben worden waren.

Bei der Validierung berechnet Bitcoin Core vorab die Transaktionseingabedaten und sendet Script-Checks an Hintergrund-Threads. In einigen Fällen könnte ein ungültiger Block zwischengespeicherte Daten zerstören, während ein anderer Thread noch versuchte, sie zu lesen.

Bitcoin Core sagte, dies könne es einem Angreifer mit genug Proof-of-Work ermöglichen, die Zielknoten zum Absturz zu bringen. Außerdem hieß es, es sei „möglich“, dass der Crash eine Remote-Code-Execution unterstützen könnte, auch wenn die Grenzen bei den Blockdaten diesen Ausgang „unwahrscheinlich“ machten.

Angriff erforderte teures Mining

Der Angriff war nicht einfach umzusetzen. Ein Miner müsste einen speziell präparierten Block erzeugen, der genug Proof-of-Work hat, um die Chain-Spitze zu erreichen.

Das machte den Angriff kostspielig, weil ein solcher Block ungültig wäre. Er könnte keine normale Blockbelohnung einbringen, sodass der Angreifer Hashpower aufwenden müsste, ohne die übliche Mining-Auszahlung einzusammeln.

Bitcoin Core sagte nicht, dass der Fehler in realen Angriffen verwendet worden sei. Die Advisory konzentrierte sich auf den Fehler, die Behebung und die Offenlegungszeitleiste.

Der Fehler änderte Bitcoins Konsensregeln nicht. Er hing mit dem Speicher-Handling in der Bitcoin-Core-Software zusammen, nicht mit den Regeln, die gültige Bitcoin-Transaktionen oder -Blöcke definieren.

Cory Fields meldete den Fehler

Cory Fields vom MIT Digital Currency Initiative meldete den Fehler am 2. Nov. 2024 privat. Bitcoin Core sagte, der Bericht habe einen Proof of Concept und einen vorgeschlagenen Weg enthalten, das Risiko zu reduzieren.

Pieter Wuille brachte vier Tage später eine verdeckte Korrektur über PR 31112 ein. Der Pull Request wurde am 3. Dez. 2024 zusammengeführt, bevor Bitcoin Core 29.0 im April 2025 mit der Behebung ausgeliefert wurde.

Die Advisory folgte der Offenlegungspolitik von Bitcoin Core für Fehler mit hoher Schwere. Deren Richtlinie besagt, dass Probleme mit hoher Schwere offengelegt werden, nachdem die letzte betroffene Release-Version das Lebensende erreicht hat.

Zusätzlich sind Betreibende von Knoten, die Bitcoin-Core-Versionen vor 29.0 nutzen, weiterhin von dem alten Fehler betroffen. Bitcoin Core aktualisiert sich nicht automatisch, daher müssen Nutzer neuere Versionen manuell installieren.

Ein früherer Bericht zu Risiken der Blockchain-Dezentralisierung nannte eine Studie, nach der im Juni 2021 21% der Bitcoin-Knoten veraltete Bitcoin-Core-Software betrieben. Dieser Kontext zeigt, warum ältere Client-Versionen noch lange nach dem Ausrollen von Fixes ein Sicherheitsrisiko darstellen können.