Der Bitcoin-Bug ermöglichte es Minern, Code auf den Knoten anderer Leute auszuführen

Die Entwickler von Bitcoin Core haben heute einen Fehler offengelegt, der es Minern ermöglicht hat, aus der Ferne Code auf den Knoten anderer Leute abzustürzen und auszuführen.

Die Schwachstelle CVE-2024-52911 betrifft Bitcoin Core 0.14.1 bis 28.4. Der Entwickler Cory Fields hat den schwerwiegenden Fehler über Pull Request (PR) 31112 verantwortungsbewusst offengelegt und dabei geholfen, ihn zu beheben.

Hätte ein Miner den dunklen Trick anwenden wollen, hätte er Softwarecode auf verschiedenen Knoten auf der ganzen Welt ausführen können.

Glücklicherweise blieb der Fehler im Dunkeln und wurde aufgrund seines unglaublich teuren Angriffsvektors wahrscheinlich nicht genutzt.

Konkret erforderte der Angriff, dass ein Miner die stromfressende Hash-Leistung auf das Mining spezieller Blocktypen richtete. Als garantierte Opportunitätskosten konnten diese ungültigen Blöcke nicht für eine tatsächliche Coinbase-Belohnung zur Deckung der Stromkosten der Miner in Frage kommen.

Dennoch ist der Angriffsmechanismus leicht zu verstehen, wenn auch teuer in der Durchführung.

Wir veröffentlichen seit ca. 2 Jahren Bitcoin Core-Sicherheitshinweise und (afaik) wir haben gerade das erste Speichersicherheitsproblem überhaupt offengelegt: Ein „Use-after-free“ in der Validierungs-Engine. Dank geht an Cory Fields vom DCI für die Entdeckung und Meldung.

— Niklas Gögge (@dergoegge) 5. Mai 2026

Ein Miner, der einen speziell gestalteten Block mit ausreichendem Proof-of-Work erstellt hat, könnte entweder Opferknoten zum Absturz bringen und/oder den Absturz dazu nutzen, seinen Speicher für die Remote-Codeausführung zu überfordern.

Bitcoin Core gab zu, dass eine Codeausführung aus der Ferne möglich sei, nannte jedoch keine konkreten Beispiele dafür. Dabei wurden nicht nur die Kosten und das hohe Alter hervorgehoben, sondern auch die Einschränkungen bei den Blockdaten, die es in der Vergangenheit unwahrscheinlich gemacht haben, dass Bergleute sich an bedeutungsvollen Episoden des Puppenspiels beteiligten.

Bei alten Bitcoin-Knoten besteht weiterhin die Gefahr eines Fehlers

Das Advisory von Bitcoin Core beschreibt den Fehler als einen Absturz des Skriptinterpreters. Während der Blockvalidierung berechnet die Bitcoin Core-Software die Transaktionseingabedaten vorab, speichert sie zwischen und sendet dann die Skriptvalidierungsarbeit an Hintergrundthreads, die Computerspeicher verwenden.

Bei einem CVE-2024-52911-Angriff könnte der Knoten weiterhin aus seinem zwischengespeicherten Speicher lesen, nachdem diese Daten bereits von einem anderen Prozess aus dem Speicher freigegeben wurden.

Da es sich bei diesem Angriff um einen „Use-after-free“-Speicherfehler handelt, ist während dieses abnormalen Speicherzustands eine Remotecodeausführung möglich.

Insbesondere kann es zu einer Remotecodeausführung kommen, wenn der Hintergrund-Skriptthread des Knotens zwischengespeicherte, vorberechnete Transaktionsdaten liest, nachdem diese durch eine Skriptvalidierung, CScriptCheck, zerstört wurden.

Da das Upgrade eines Bitcoin-Vollknotens freiwillig ist und Software-Updates nicht automatisch erfolgen, hat eine nicht unbedeutende Minderheit des Netzwerks das Upgrade auf Version 29 (v29) oder höher verzögert.

Einer verbreiteten Schätzung zufolge laufen auf bis zu 43 % der Bitcoin-Knoten immer noch anfällige Vollknotensoftware, die auf Code vor Version 29 basiert.

Bitcoin Core entfernt v30-Downloads wegen eines Fehlers, der Wallets aus der Satoshi-Ära bereinigen kann

Verantwortungsvolle Offenlegung im Jahr 2024

Bereits im November 2024 entdeckte Cory Fields den Fehler und meldete ihn privat.

Vier Tage nach der Entdeckung veröffentlichte Pieter Wuille einen Lösungsvorschlag als PR 31112 mit dem Titel „Verbesserung der Fehler-Debug-Protokollierung bei der parallelen Skriptvalidierung“.

Der Ratgeber liest sich absichtlich wie eine banale, wartungsähnliche Sanitärreparatur. Es ließ keine Alarmglocken schrillen, es reparierte Bitcoin Cores Check-Queue-Return-Handling und Skript-Validierungen.

Die PR von Fields und Wuille erzielte schnell einen technischen Konsens für eine Zusammenführung in die Produktion bis Dezember 2024. Bitcoin Core 29.0 wurde mit dem Fix bis April 2025 ausgeliefert, und die letzte anfällige Release-Linie, Versionen 28.x, erreichte am 19. April 2026 das Ende ihrer Lebensdauer.

Nachdem die Knotenbetreiber nun viele Monate Zeit hatten, ein Upgrade durchzuführen, und im Einklang mit der Politik der letzten Jahre, alte, zuvor geheime Fehlerbehebungen öffentlich bekannt zu geben, hat Bitcoin Core den Fehler heute endlich auf seiner Website bekannt gegeben.

Der Bitcoin Core-Entwickler Niklas Gögge hat richtigerweise darauf hingewiesen, dass es sich dabei um „das erste Speichersicherheitsproblem“ in Bitcoin Core handelt. Er dankte Fields für seine verantwortungsvolle Offenlegung.

Die Konsensregeln von Bitcoin wurden durch die Fehlerbehebung nicht geändert. Der Fehler lag in der Node-Software und deren Verwendung von Computerspeicherprüfungen, und der Fix ist bereits in den aktuellen Bitcoin Core-Versionen v29 und höher enthalten.