比特幣核心 24.0.1 及以下版本的高危漏洞影響 17% 的完整節點

據Protos報導，9月20日，比特幣核心開發者發佈了一則關於六分之一比特幣節點的軟體漏洞的新高風險警告。週四，負責維護運行在超過98%可達全節點的開源比特幣核心項目的工作人員披露，運行在17%網絡節點上的軟體存在重大安全問題。具體而言，所有低於比特幣核心版本24.0.1的軟體都面臨風險。根據Bitnodes的監測估計，拒絕服務漏洞影響了大約3,330個自稱為可訪問比特幣完整節點的19,200個用戶代理。

在比特幣核心軟體版本24.0.1之前，惡意行為者可以利用低難度標頭鏈來對節點進行垃圾信息攻擊。通過強迫節點下載和存儲極長的標頭鏈，該攻擊可能會因佔用過多的帶寬或設備存儲空間而使節點崩潰。開發者在比特幣核心拉取請求（PR）編號25717中修復了此漏洞，並於2022年12月12日將其合併到生產環境中，隨著v24.0.1版本的發佈。當前版本的比特幣核心節點軟體（現為27.1）包括了對此及其他漏洞的修復。

儘管此漏洞相當嚴重，但在公共記錄中已知的利用此漏洞進行攻擊的案例非常少。由於生成和廣播區塊標頭鏈以執行拒絕服務攻擊的成本相當高，這一漏洞對攻擊者來說幾乎沒有經濟利益。