Bitcoin Core 24.0.1およびそれ以前のバージョンにおける重大な脆弱性がフルノードの17%に影響

9月20日、Bitcoin Coreの開発者は、6つに1つのBitcoinノードにおけるソフトウェアの脆弱性について新たな高リスク警告を発表したとProtosが報じました。木曜日、オープンソースのBitcoin Coreプロジェクトのスタッフは、ネットワークのノードの17％で実行されているソフトウェアに重大なセキュリティ問題があることを明らかにしました。このプロジェクトは、到達可能なフルノードの98％以上で動作するソフトウェアの維持を担当しています。具体的には、Bitcoin Coreバージョン24.0.1未満のすべてのソフトウェアがリスクにさらされています。Bitnodesの監視推定によると、サービス拒否の脆弱性は、アクセス可能なBitcoin Completeノードの19,200の自己申告ユーザーエージェントのうち約3,330に影響を与えています。

バージョン24.0.1以前のBitcoin Coreソフトウェアでは、悪意のある行為者が低難易度のヘッダーチェーンを使用してノードにスパムを送ることができました。ノードに非常に長いヘッダーチェーンをダウンロードして保存させることで、攻撃は帯域幅やデバイスのストレージスペースを過剰に使用させてノードをクラッシュさせる可能性がありました。開発者はこの脆弱性をBitcoin Coreプルリクエスト（PR）番号25717で修正し、2022年12月12日にv24.0.1リリースで本番環境に統合しました。現在のBitcoin Coreノードソフトウェアのバージョン（現在は27.1）には、この脆弱性および他の脆弱性の修正が含まれています。

この脆弱性は非常に深刻ですが、この脆弱性を悪用した攻撃の公的記録は非常に少ないです。サービス拒否攻撃を実行するためにブロックヘッダーチェーンを生成して放送するコストが非常に高いため、この脆弱性は攻撃者にとってあまり経済的な利益がありません。