新聞 
幣種資訊 
關於我們 
比特幣核心開發團隊近日揭露一項「已存在超過 5 年」的重大「漏洞」,曾讓礦工有機會遠端「強制關閉」其他節點,甚至在特定情況下達到遠端程式碼執行。由於部分「舊版節點」仍在運作,多達約 43% 的比特幣(Bitcoin)「全節點」可能依舊暴露在風險之中,重新引發對「網路安全」與節點維護狀況的關注。
根據 Cointelegraph 於 13 日(當地時間)的報導,比特幣核心(Bitcoin Core)開發者表示,這項被編號為「CVE-2024-52911」的「安全漏洞」,影響範圍涵蓋 Bitcoin Core 0.14.1 至 28.4 版本。開發者科里·菲爾茲(Cory Fields)以「負責任揭露」的方式向團隊通報此問題,隨後透過「PR 31112」完成修補。此漏洞允許惡意礦工透過特別設計的「惡意區塊」,干擾其他節點的記憶體狀態,造成「節點當機」或在極端條件下觸發「遠端程式碼執行」。
不過,從實務層面來看,研究人員認為這是一種「技術上可行、但經濟上不合理」的攻擊方式。攻擊者必須付出大量算力與電力成本,才能打造出符合條件的特殊區塊,而且這樣的區塊無法獲得正常的區塊獎勵與「交易手續費」,導致攻擊缺乏「經濟誘因」。換言之,這是一個「有效攻擊向量」,但實際被利用的機率相對有限。
比特幣核心團隊進一步說明,問題根源來自一種典型的「use-after-free」記憶體「弱點」。在區塊驗證過程中,系統會預先計算並儲存「交易輸入」相關資料,供多個執行緒存取;但由於程式邏輯的缺陷,部分執行緒可能在記憶體已被釋放後,仍繼續讀取同一區段,導致「非預期行為」。在某些情況下,這種行為不僅會讓節點崩潰,更可能被進一步利用為「遠端程式碼執行」的入口,這也是此次被列為高風險漏洞的主因。
目前最大的隱憂在於,比特幣「全節點」軟體並不會自動更新,節點營運者必須主動下載並安裝新版程式。這意味著,只要營運者缺乏安全意識或維護延遲,「舊版軟體」就會長期留在網路中繼續參與共識。一項估算指出,約有高達「43%」的比特幣節點仍在使用「v29 之前」的版本,等同依舊暴露在此次「CVE-2024-52911」的潛在風險之下。
根據報導,這起缺陷最早在 2024 年 11 月由科里·菲爾茲私下發現並通報,比特幣核心開發者皮特·吳勒(Pieter Wuille)在 3 日內提出修補方案,最終於 2025 年 4 月正式納入「Bitcoin Core 29.0」版本中。而 28.x 系列則在 2026 年 4 月 19 日終止支援。團隊強調,目前最新版本已全面修正此問題,而這次修補並未改變「比特幣(BTC)」的「共識規則」,主要是針對「實作層」的安全性補強。
評論
此次漏洞曝光,再次顯示「比特幣協議」本身與「節點實作」是兩個不同層次的安全議題。就算「共識機制」沒有被破壞,只要節點程式碼存在「記憶體漏洞」,整體「網路穩定度」與「去中心化程度」仍可能因大規模當機而受影響。從約 43% 節點仍未升級的情況來看,「節點營運者」的安全維護速度,正逐漸成為比特幣生態系的關鍵變數。對長期持有者與機構參與者而言,如何強化「基礎設施安全」,恐怕會比短期價格波動更值得關注。
留言 0