Bitcoin Core mengungkap bug yang dapat membuat penambang merusak (crash) node

Pengembang Bitcoin Core mengungkap bug ber tingkat keparahan tinggi yang berpotensi memungkinkan penambang untuk meremot menjatuhkan beberapa node Bitcoin.
Ringkasan

• Bitcoin Core mengungkap CVE-2024-52911, yang memengaruhi versi sebelum 29.0, dengan node-node lama yang masih terekspos online.
• Penambang perlu blok bukti-konsep kerja (proof-of-work) yang mahal untuk memicu crash, sehingga penyalahgunaan di dunia nyata secara historis tidak mungkin bagi penyerang.
• Cory Fields melaporkan bug ini secara privat pada 2024, sebelum perangkat lunak patch untuk Bitcoin Core 29.0 dirilis.

Masalah ini, yang dilacak sebagai CVE-2024-52911, memengaruhi versi Bitcoin Core setelah 0.14.0 dan sebelum 29.0. Bug tersebut diperbaiki di Bitcoin Core 29.0, yang dirilis pada April 2025.

Bitcoin Core membuat isu ini publik pada 5 Mei 2026, setelah rilis 28.x yang terakhir masih rentan mencapai akhir masa pakai pada 19 April.

Bug memengaruhi validasi blok

Masalah ini melibatkan interpreter skrip Bitcoin Core saat validasi blok. Bitcoin Core mengatakan sebuah blok yang dibuat khusus bisa menyebabkan sebuah node mengakses memori setelah data tersebut sudah dibebaskan.

Saat validasi, Bitcoin Core menghitung terlebih dahulu data input transaksi dan mengirim pemeriksaan skrip ke thread latar. Dalam beberapa kasus, blok yang tidak valid bisa menghancurkan data cache sementara thread lain masih berupaya membacanya.

Bitcoin Core mengatakan ini bisa memungkinkan penyerang dengan cukup proof-of-work untuk menjatuhkan node korban. Bitcoin Core juga mengatakan “kemungkinan” crash tersebut mendukung eksekusi kode jarak jauh, meski batasan pada data blok membuat hasil itu “tidak mungkin.”

Serangan memerlukan penambangan yang mahal

Serangannya tidak mudah dilakukan. Seorang penambang perlu menghasilkan blok yang dibuat khusus dengan proof-of-work yang cukup untuk mencapai ujung rantai (chain tip).

Itu membuat serangan mahal karena blok seperti itu tidak valid. Blok tersebut tidak bisa mendapatkan imbalan blok normal, sehingga penyerang harus menghabiskan daya hash tanpa mengumpulkan pembayaran penambangan yang biasa.

Bitcoin Core tidak mengatakan bug ini telah digunakan dalam serangan nyata. Penasihat (advisory) berfokus pada kelemahannya, perbaikannya, dan timeline pengungkapannya.

Bug ini tidak mengubah aturan konsensus Bitcoin. Bug ini terkait penanganan memori pada perangkat lunak Bitcoin Core, bukan aturan yang mendefinisikan transaksi atau blok Bitcoin yang valid.

Cory Fields melaporkan kelemahannya

Cory Fields dari MIT Digital Currency Initiative melaporkan bug ini secara privat pada 2 Nov. 2024. Bitcoin Core mengatakan laporan tersebut mencakup bukti konsep dan cara yang diusulkan untuk mengurangi risiko.

Pieter Wuille mendorong perbaikan yang tersamar empat hari kemudian melalui PR 31112. Pull request tersebut digabung pada 3 Des. 2024, sebelum Bitcoin Core 29.0 dirilis pada April 2025 dengan perbaikan tersebut.

Advisory tersebut mengikuti kebijakan pengungkapan Bitcoin Core untuk bug ber tingkat keparahan tinggi. Kebijakannya menyatakan isu ber tingkat keparahan tinggi diungkap setelah rilis terakhir yang terdampak mencapai akhir masa pakai.

Selain itu, operator node yang menggunakan versi Bitcoin Core sebelum 29.0 masih menghadapi bug lama. Bitcoin Core tidak melakukan pembaruan otomatis, sehingga pengguna harus menginstal versi yang lebih baru secara manual.

Laporan sebelumnya tentang risiko desentralisasi blockchain mengutip riset yang menyebut 21% node Bitcoin menjalankan perangkat lunak Bitcoin Core yang ketinggalan zaman pada Juni 2021. Konteks ini menunjukkan mengapa versi klien yang lebih lama bisa tetap menjadi perhatian keamanan jauh setelah perbaikan dirilis.