Pengembang Bitcoin hari ini mengungkapkan rincian bug perangkat lunak dengan tingkat keparahan tinggi lainnya. Menurut pengembang senior Teras, lebih dari 13% komputer rumah dan bisnis di seluruh dunia yang menerapkan aturan Bitcoin rentan terhadap pemadaman jarak jauh.
Bug, bernama CVE-2024-35202mempengaruhi node Bitcoin yang menjalankan perangkat lunak Core sebelum versi 25.0. Node yang belum diperbarui ke setidaknya 25.0 memungkinkan penyerang mengeksploitasi pernyataan dalam logika perangkat lunak yang menangani pesan blok transaksi (‘blocktxn’) dari jarak jauh.
Secara khusus, kerentanan berasal dari protokol blok kompak Core, yang menggunakan pengidentifikasi transaksi yang dipersingkat untuk mengurangi penggunaan bandwidth internet. Penyerang dapat memicu tabrakan pada pengidentifikasi ini, menyebabkan node meminta blok penuh.
Meskipun meminta blok penuh dan tidak terhubung merupakan tindakan pencegahan keamanan, versi perangkat lunak sebelum 25.0 memiliki kelemahan dalam logika penanganan pesan blocktxn berikutnya. Singkatnya, sebuah node dapat dipaksa menjadi tidak valid dengan memanipulasi gerbang logika, menyebabkannya crash sepenuhnya.
Bug tersebut telah ditambal sejak Mei 2023, tetapi Bitcoin Core tidak diperbarui secara otomatis
Penghargaan atas penemuan dan pengungkapan kerentanan diberikan kepada Niklas Gögge, yang juga menyediakan patch yang diterapkan di Bitcoin Core v25.0. Dia menambal bug ini dalam permintaan tarik Bitcoin Core 26898 dan pengembang lain telah menggabungkannya ke dalam produksi pada bulan Mei 262023.
Menurut nilai yang dideklarasikan sendiri yang dideklarasikan oleh node yang dapat diakses internet yang dilacak oleh BitNodes.io, 13,7% dari 18.843 node yang mengoperasikan jaringan Bitcoin rentan terhadap serangan. Pengembang mendorong semua operator node untuk memperbarui perangkat lunak mereka untuk menambal kerentanan ini. Versi terbaru dari perangkat lunak Bitcoin Core adalah 28.0.
Meski cukup serius, bug memiliki sedikit keuntungan finansial bagi rata-rata penyerangkarena memerlukan manipulasi canggih dari protokol blok kompak dan tidak memungkinkan pembelanjaan ganda bitcoin tanpa mengoordinasikan berbagai skema rekayasa keuangan dan sosial lainnya.
Namun, ini adalah kelemahan keamanan yang dapat dieksploitasi oleh perusahaan atau pemerintah yang ingin mengganggu operasi Bitcoin karena alasan keuangan.
Pengungkapan bug ini mengikuti tren terkini pengembang Bitcoin Core yang mengungkap kerentanan serius pada versi perangkat lunak lama. Karena perangkat lunak Inti tidak diperbarui secara otomatis secara default, operator node harus memilih secara manual untuk mengunduh, memverifikasi, dan memperbarui perangkat lunak mereka.
Kecuali jika operator node Bitcoin memperbarui perangkat lunaknya, sebagian jaringan mungkin berisiko dimatikan.
