Bitcoin Core a divulgué publiquement le 5 mai une vulnérabilité de haute gravité qui affectait son logiciel entre les versions 0.14.0 et 28, une plage qui s’étend sur environ neuf ans de développement.
Selon le communiqué officiel, l’échec autorisé un attaquant capable d’exploiter un bloc avec une preuve de travail suffisante pourrait forcer l’arrêt ou l’arrêt des nœuds tiers en exploitant une erreur de gestion de la mémoire.
Selon Bitcoin Core, La vulnérabilité résidait dans l’interpréteur de script chargé de valider les transactions. L’organisation note que, lors de la validation de blocs invalides spécialement construits, un thread de traitement en arrière-plan pouvait accéder à des données déjà supprimées de la mémoire – un bug connu en programmation sous le nom de utilisation après libération (utiliser puis relâcher) – ce qui a provoqué l’effondrement du nœud affecté.
Bitcoin Core est le logiciel de référence qui implémente le protocole réseau Bitcoin. Son développement est maintenu par un groupe de contributeurs open source et représente la base technique sur laquelle fonctionnent la plupart des nœuds complets du réseau, donc les vulnérabilités de ce logiciel ont des implications directes sur la stabilité et l’intégrité de l’infrastructure Bitcoin.
Le chercheur Cory Fields, de la MIT Digital Currency Initiative, a rapporté la décision en privé le 2 novembre 2024. Selon la chronologie publiée par Bitcoin Core, le développeur Pieter Wuille a secrètement incorporé un correctif dans un demande de tirage déjà ouvert quelques jours plus tard, sans révéler publiquement son objectif. La version corrigée, Bitcoin Core 29.0, a été publiée le 12 avril 2025. Pour certains, la modification s’est produite « sous le capot ».
Correction et sa divulgation
Bitcoin Core indique que la divulgation publique a été retardée jusqu’à ce que la dernière version vulnérable, la branche 28.x, atteigne sa fin de vie officielle, qui a eu lieu le 19 avril 2026. Cette pratique, connue sous le nom de divulgation responsablevise à garantir que les utilisateurs ont eu suffisamment de temps pour effectuer la mise à jour avant que les détails techniques de la panne ne soient rendus publics.
L’organisation précise que, bien que la nature de l’erreur rende théoriquement possible l’exécution de code à distance sur les nœuds concernés, lLes restrictions inhérentes au format des blocs rendaient ce scénario peu probable.. L’impact le plus réaliste, selon Bitcoin Core, a été l’arrêt forcé du nœud.
Bitcoin Core souligne que les opérateurs de nœuds ayant migré vers la version 29.0 ou ultérieure au moment de son lancement n’ont pas été exposés pendant la période de divulgation publique. L’organisation ne rapporte aucune preuve que la vulnérabilité a été exploitée avant sa correction.
