Kerentanan Sangat Kritis di Bitcoin Core 24.0.1 dan Versi Sebelumnya Mempengaruhi 17% dari Node Penuh

Pada tanggal 20 September, pengembang Bitcoin Core mengeluarkan peringatan risiko tinggi baru tentang kerentanan perangkat lunak di satu dari enam node Bitcoin, lapor Protos. Pada hari Kamis, staf di proyek open-source Bitcoin Core, yang bertanggung jawab untuk memelihara perangkat lunak yang berjalan di lebih dari 98 persen node penuh yang dapat dijangkau, mengungkapkan bahwa perangkat lunak yang berjalan di 17 persen node jaringan memiliki masalah keamanan yang signifikan. Secara khusus, semua perangkat lunak di bawah versi Bitcoin Core 24.0.1 berisiko. Menurut perkiraan pemantauan Bitnodes, kerentanan penolakan layanan memengaruhi sekitar 3.330 dari 19.200 agen pengguna yang mengaku sebagai node Bitcoin Lengkap yang dapat diakses.

Dalam perangkat lunak Bitcoin Core sebelum versi 24.0.1, pelaku jahat dapat menggunakan rantai header dengan kesulitan rendah untuk mengirim spam ke node. Dengan memaksa node untuk mengunduh dan menyimpan rantai header yang sangat panjang, serangan tersebut dapat membuat node crash dengan mengambil terlalu banyak bandwidth atau ruang penyimpanan perangkat. Pengembang memperbaiki kerentanan ini dalam permintaan penarikan (PR) Bitcoin Core nomor 25717 dan menggabungkannya ke dalam produksi pada 12 Desember 2022 dengan rilis v24.0.1. Versi perangkat lunak node Bitcoin Core saat ini (sekarang 27.1) mencakup perbaikan untuk ini dan kerentanan lainnya.

Meskipun kerentanan ini cukup serius, ada sangat sedikit kasus serangan yang diketahui dalam catatan publik yang mengeksploitasi kerentanan ini. Karena biaya untuk menghasilkan dan menyiarkan rantai header blok untuk melakukan serangan penolakan layanan cukup tinggi, kerentanan ini memiliki sedikit minat finansial bagi penyerang.