Theo Protos ngày 5 tháng 5, các nhà phát triển Bitcoin Core đã công khai tiết lộ trên trang web chính thức lỗ hổng mức độ nguy nghiêm trọng CVE-2024-52911, lỗ hổng này cho phép thợ đào thông qua việc đào các khối được chế tạo đặc biệt để làm sập từ xa các nút của người dùng khác và thực thi mã trong những điều kiện nhất định. Do việc nâng cấp toàn bộ nút Bitcoin hiện là hành động tự nguyện, ước tính vẫn còn khoảng 43% số nút đang chạy phiên bản phần mềm cũ có tồn tại lỗ hổng.
Chi tiết kỹ thuật của lỗ hổng
Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, CVE-2024-52911 thuộc nhóm lỗ hổng an toàn bộ nhớ “Use-After-Free” (giải phóng rồi dùng lại), tồn tại trong cơ chế xác thực tập lệnh song song của Bitcoin Core. Trong quá trình xác thực khối, Bitcoin Core sẽ tính toán trước và lưu vào bộ nhớ đệm dữ liệu đầu vào giao dịch, sau đó phân phối công việc xác thực tập lệnh cho các luồng chạy ở hậu trường; khi luồng hậu trường đọc dữ liệu trong bộ nhớ đệm đã bị CScriptCheck hủy, có thể xảy ra thực thi mã từ xa.
Nhà phát triển Bitcoin Core Niklas Gögge cho biết đây là lỗ hổng “vấn đề an toàn bộ nhớ” đầu tiên trong lịch sử của Bitcoin Core. Thông báo chính thức của Bitcoin Core cũng xác nhận các quy tắc đồng thuận của Bitcoin không thay đổi do việc sửa chữa lỗ hổng này.
Theo báo cáo của Protos, để tấn công, thợ đào cần dành một lượng lớn sức mạnh tính toán cho việc đào các khối vô hiệu không thể nhận phần thưởng khối, chi phí cực kỳ đắt đỏ; vì vậy, thông báo chính thức của Bitcoin Core cho rằng trong lịch sử lỗ hổng này rất có thể chưa từng được khai thác thực tế.
Lịch trình công bố có trách nhiệm
Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, mốc thời gian công bố CVE-2024-52911 như sau:
Tháng 11 năm 2024: Nhà phát triển Cory Fields phát hiện lỗ hổng và báo cáo riêng
Tháng 11 năm 2024 (sau khi phát hiện 4 ngày): Pieter Wuille gửi PR bản vá #31112
Tháng 12 năm 2024: PR #31112 được gộp vào môi trường sản xuất
Tháng 4 năm 2025: Bitcoin Core v29.0 phát hành, bao gồm bản vá
19 tháng 4 năm 2026: Dòng phiên bản cuối cùng còn tồn tại lỗ hổng (28.x) ngừng được bảo trì
Ngày 5 tháng 5 năm 2026: Bitcoin Core công khai công bố lỗ hổng này trên trang web chính thức
Tình trạng hiện tại sau khi vá
Theo báo cáo của Protos ngày 5 tháng 5, do việc nâng cấp toàn bộ nút Bitcoin hiện là hành động tự nguyện và việc cập nhật không tự động, ước tính khoảng 43% các nút Bitcoin vẫn đang chạy các phiên bản trước v29 có tồn tại lỗ hổng. Bitcoin Core khuyến nghị các nhà vận hành nút nâng cấp lên v29.0 hoặc phiên bản mới hơn.
Câu hỏi thường gặp
CVE-2024-52911 ảnh hưởng thế nào đến các nút Bitcoin?
Theo thông báo chính thức của Bitcoin Core, CVE-2024-52911 cho phép thợ đào thông qua việc đào các khối được chế tạo đặc biệt để làm sập từ xa các nút chạy Bitcoin Core từ phiên bản 0.14.1 đến 28.4 và thực thi mã từ xa trong những điều kiện nhất định; các quy tắc đồng thuận của Bitcoin không thay đổi do việc sửa chữa lỗ hổng này.
Nhà vận hành nút nên ứng phó với CVE-2024-52911 ra sao?
Các phiên bản bị ảnh hưởng bởi CVE-2024-52911 là Bitcoin Core từ 0.14.1 đến 28.4; do đó, nhà vận hành nút nên nâng cấp lên v29.0 hoặc phiên bản mới hơn. Phiên bản 28.x cuối cùng còn tồn tại lỗ hổng đã ngừng được bảo trì từ ngày 19 tháng 4 năm 2026.
CVE-2024-52911 đã từng được khai thác thực tế chưa?
Theo thông báo chính thức của Bitcoin Core và báo cáo của Protos ngày 5 tháng 5, cuộc tấn công này cần thợ đào dành một lượng lớn sức mạnh tính toán để đào các khối vô hiệu không thể nhận phần thưởng khối, chi phí cực kỳ đắt đỏ; Bitcoin Core cho rằng trong lịch sử lỗ hổng này rất có thể chưa từng được khai thác thực tế.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Michael Saylor phá vỡ lập trường “không bao giờ bán”: Chiến lược hoặc bán BTC để trả cổ tức
Michael Saylor lần đầu tiên cho biết có thể chủ động bán Bitcoin để chi trả cổ tức, phá vỡ cam kết lâu dài “không bao giờ bán ra”. Bài viết phân tích nguyên nhân dẫn đến sự thay đổi lập trường, tác động đến thị trường và xu hướng tiếp theo.
GateInstantTrends59phút trước
Bitcoin Tăng Giá Khi Kỳ Vọng Hệ Sinh Thái On-Chain Dựa Trên STRC Được Kích Hoạt, Ngày 6 Tháng 5
Theo Park Sang-hyuk, tổng biên tập Digital Asset, Bitcoin tăng vào ngày 6/5 khi kỳ vọng của thị trường gia tăng xung quanh việc kích hoạt hệ sinh thái on-chain dựa trên STRC của Strategy. STRC, một token vốn cổ phần ưu đãi vĩnh viễn (perpetual preferred share) từ Strategy, đơn vị nắm giữ Bitcoin lớn nhất thế giới, đang được định vị như tài sản thế chấp
GateNews1giờ trước
Bitcoin vượt 81.000 USD khi CEO của Strategy báo hiệu khả năng bán 1,5 tỷ USD BTC để đáp ứng nghĩa vụ cổ tức
Chủ tịch điều hành của công ty, Michael Saylor, đã phát tín hiệu về khả năng bán bitcoin để trang trải 1,5 tỷ USD nghĩa vụ cổ tức hằng năm sau giờ giao dịch, khiến MSTR giảm 4% và đẩy BTC tạm thời xuống dưới 81.000 USD.
GateNews2giờ trước
Michael Saylor lần đầu tiên cho biết có thể bán Bitcoin, mang lại “liều thuốc trợ tim” cho thị trường
Theo cuộc gọi hội nghị về kết quả kinh doanh quý 1 được Strategy tổ chức vào ngày 6/5, Chủ tịch điều hành Michael Saylor cho biết công ty có thể sẽ bán một phần Bitcoin (BTC) để chi trả cổ tức, và nói rằng động thái này nhằm “tiêm một liều thuốc tăng lực cho thị trường” để gửi tín hiệu về hoạt động bình thường của công ty. Strategy công bố khoản lỗ ròng 12,5 tỷ USD trong quý đó.
MarketWhisper2giờ trước
