-
La decisió va ser present des de Bitcoin Core 0.14.0, llançat el 2017.
-
La correcció es va integrar de forma encoberta al PR #31112 de GitHub.
Bitcoin Core va divulgar públicament aquest 5 de maig una vulnerabilitat de severitat alta que va afectar el programari entre les versions 0.14.0 i 28, un rang que abasta aproximadament nou anys de desenvolupament.
Segons l’avís oficial, la decisió permetia que un atacant capaç de minar un bloc amb prou prova de treball pogués forçar el tancament o apagat de nodes de tercers en explotar un error de gestió de memòria.
D’acord amb Bitcoin Core, la vulnerabilitat residia a l’intèrpret de scripts responsable de validar transaccions. L’organització assenyala que, durant la validació de blocs invàlids especialment construïts, un fil de processament en segon pla podia accedir a dades ja eliminades de la memòria –un error conegut en programació com ús després de lliure (usi després alliberi)—, cosa que causava el col·lapse del node afectat.
Bitcoin Core és el programari de referència que implementa el protocol de la xarxa Bitcoin. El seu desenvolupament és mantingut per un grup de contribuïdors de codi obert i representa la base tècnica sobre la qual operen la majoria dels nodes complets de la xarxa, per la qual cosa les vulnerabilitats en aquest programari tenen implicacions directes sobre l’estabilitat i la integritat de la infraestructura de Bitcoin.
L’investigador Cory Fields, del MIT Digital Currency Initiative, va reportar la decisió de forma privada el 2 de novembre de 2024. Segons la línia de temps publicada per Bitcoin Core, el desenvolupador Pieter Wuille va incorporar una correcció de forma encoberta en un petició d’extracció ja obert dies després, sense revelar públicament el seu propòsit. La versió corregida, Bitcoin Core 29.0, va ser llançada el 12 d’abril del 2025. Per a alguns, la modificació va ocórrer de forma «oculta».
La correcció i la seva divulgació
Bitcoin Core indica que la divulgació pública es va postergar fins que l’última versió vulnerable —la branca 28.x— arribés al final de vida oficial, cosa que va passar el 19 d’abril del 2026. Aquesta pràctica, coneguda com a divulgació responsablebusca garantir que els usuaris hagin tingut temps suficient per actualitzar abans que el detall tècnic de la sentència sigui públic.
L’organització precisa que, si bé la naturalesa de l’error feia teòricament possible l’execució remota de codi als nodes afectats, lles restriccions inherents al format dels blocs feien aquest escenari poc probable. L?impacte més realista, segons Bitcoin Core, era el tancament forçat del node.
Bitcoin Core subratlla que els operadors de nodes que van migrar a la versió 29.0 o posterior en el moment del llançament no van estar exposats durant la finestra de divulgació pública. L’organització no reporta evidència que la vulnerabilitat hagi estat explotada abans de la correcció.
