ثغرة حرجة للغاية في Bitcoin Core 24.0.1 وما دونه تؤثر على 17% من العقد الكاملة

في 20 سبتمبر، أصدر مطورو Bitcoin Core تحذيرًا جديدًا عالي المخاطر بشأن ثغرة برمجية في واحدة من كل ستة عقد بيتكوين، وفقًا لتقرير Protos. يوم الخميس، كشف موظفو مشروع Bitcoin Core مفتوح المصدر، المسؤول عن صيانة البرمجيات التي تعمل على أكثر من 98 في المئة من العقد الكاملة القابلة للوصول، أن البرمجيات التي تعمل على 17 في المئة من عقد الشبكة لديها مشكلات أمنية كبيرة. تحديدًا، جميع البرمجيات التي تقل عن الإصدار 24.0.1 من Bitcoin Core معرضة للخطر. وفقًا لتقديرات مراقبة Bitnodes، تؤثر ثغرة رفض الخدمة على حوالي 3,330 من 19,200 وكيل مستخدم معلن ذاتيًا لعقد Bitcoin Complete القابلة للوصول.

في برمجيات Bitcoin Core قبل الإصدار 24.0.1، يمكن للمهاجمين الخبيثين استخدام سلاسل رؤوس ذات صعوبة منخفضة لإغراق العقد. من خلال إجبار العقد على تنزيل وتخزين سلاسل رؤوس طويلة للغاية، يمكن للهجوم أن يتسبب في تعطل العقدة عن طريق استهلاك الكثير من عرض النطاق الترددي أو مساحة تخزين الجهاز. قام المطورون بإصلاح هذه الثغرة في طلب السحب (PR) رقم 25717 ودمجوها في الإنتاج في 12 ديسمبر 2022 مع إصدار v24.0.1. يتضمن الإصدار الحالي من برمجيات عقدة Bitcoin Core (الآن 27.1) إصلاحات لهذه الثغرة وغيرها من الثغرات.

على الرغم من أن هذه الثغرة خطيرة للغاية، إلا أن هناك حالات قليلة معروفة من الهجمات في السجل العام التي تستغل هذه الثغرة. نظرًا لأن تكلفة توليد وبث سلسلة رؤوس الكتل لتنفيذ هجوم رفض الخدمة مرتفعة للغاية، فإن هذه الثغرة ليست ذات اهتمام مالي كبير للمهاجمين.