Bitcoin Core révèle un bogue qui pourrait permettre aux mineurs de faire planter des nœuds

Les développeurs de Bitcoin Core ont divulgué un bug de haute sévérité qui pourrait permettre aux mineurs de faire crash à distance certains nœuds Bitcoin.
Résumé

• Bitcoin Core a divulgué la CVE-2024-52911, affectant les versions antérieures à la 29.0, avec des nœuds plus anciens encore exposés en ligne.
• Les mineurs avaient besoin de blocs coûteux de preuve de travail pour déclencher des crashs, ce qui rendait historiquement l’abus dans le monde réel peu probable pour les attaquants.
• Cory Fields a signalé le bug en privé en 2024, avant la sortie du logiciel corrigé par Bitcoin Core 29.0.

Le problème, suivi sous la référence CVE-2024-52911, a affecté les versions de Bitcoin Core après la 0,14.0 et avant la 29.0. Le bug a été corrigé dans Bitcoin Core 29.0, sorti en avril 2025.

Bitcoin Core a rendu l’affaire publique le 5 mai 2026, après que la dernière ligne de versions vulnérables 28.x a atteint la fin de sa prise en charge le 19 avril.

Bug affectant la validation des blocs

Le problème impliquait l’interpréteur de scripts de Bitcoin Core pendant la validation des blocs. Bitcoin Core a indiqué qu’un bloc spécialement forgé pouvait amener un nœud à accéder à de la mémoire après que ces données avaient déjà été libérées.

Lors de la validation, Bitcoin Core pré-calcule les données d’entrée des transactions et envoie les vérifications de script à des threads en arrière-plan. Dans certains cas, un bloc invalide pouvait détruire des données mises en cache pendant qu’un autre thread essayait encore de les lire.

Bitcoin Core a déclaré que cela pouvait permettre à un attaquant disposant de suffisamment de preuve de travail de faire crash des nœuds victimes. Il a aussi indiqué que « il est possible » que le crash puisse prendre en charge l’exécution de code à distance, même si, avec les limites des données de bloc, ce résultat serait « improbable ».

L’attaque nécessitait un minage coûteux

L’attaque n’était pas simple à réaliser. Un mineur devrait produire un bloc spécialement forgé avec assez de preuve de travail pour atteindre le sommet de chaîne (chain tip).

Cela rendait l’attaque coûteuse, car un tel bloc serait invalide. Il ne pourrait pas obtenir une récompense de bloc normale, laissant l’attaquant dépenser de la puissance de hachage sans encaisser le paiement de minage habituel.

Bitcoin Core n’a pas indiqué que le bug avait été utilisé dans des attaques réelles. L’avis mettait l’accent sur la faille, la correction et la chronologie de divulgation.

Le bug ne modifiait pas les règles de consensus de Bitcoin. Il était lié à la gestion de la mémoire dans le logiciel Bitcoin Core, et non aux règles qui définissent les transactions ou les blocs Bitcoin valides.

Cory Fields a signalé la faille

Cory Fields du MIT Digital Currency Initiative a signalé le bug en privé le 2 novembre 2024. Bitcoin Core a indiqué que le rapport incluait une preuve de concept et une méthode proposée pour réduire le risque.

Pieter Wuille a fait passer un correctif discret quatre jours plus tard via la PR 31112. La demande a été fusionnée le 3 décembre 2024, avant que Bitcoin Core 29.0 ne soit publié en avril 2025 avec le correctif.

L’avis a suivi la politique de divulgation de Bitcoin Core pour les bugs de haute sévérité. Sa politique indique que les problèmes de haute sévérité sont divulgués après la fin de vie de la dernière version concernée.

Par ailleurs, les opérateurs de nœuds utilisant des versions de Bitcoin Core antérieures à la 29.0 restent exposés au vieux bug. Bitcoin Core ne se met pas à jour automatiquement, de sorte que les utilisateurs doivent installer manuellement des versions plus récentes.

Un précédent rapport sur les risques de décentralisation de la blockchain citait une recherche montrant que 21% des nœuds Bitcoin utilisaient un logiciel Bitcoin Core obsolète en juin 2021. Ce contexte explique pourquoi les anciennes versions du client peuvent rester une préoccupation de sécurité longtemps après la publication des correctifs.