Bitcoin Core скрытно устранила критическую уязвимость в узлах — детали раскрыли только спустя 17 месяцев

Команда Bitcoin Core устранила критическую уязвимость, связанную с безопасностью памяти в узлах сети, применив нетривиальную стратегию сокрытия. Патч для уязвимости, обнаруженной исследователем Кори Филдсом ещё 2 ноября 2024 года, вышел под нейтральным описанием — как рядовое улучшение отладки параллельной проверки скриптов. Это позволило интегрировать исправление в кодовую базу в декабре 2024 года, не привлекая внимания злоумышленников к серьёзности проблемы.

Уязвимость попала в релиз Bitcoin Core 29.0 в апреле 2025 года, однако детали были раскрыты лишь 19 апреля 2026 года — после того как последняя уязвимая ветка 28.x официально завершила свой жизненный цикл. Разработчики подчеркнули: проблема не затрагивала консенсусные правила блокчейна и касалась исключительно локальной обработки памяти в программном обеспечении узлов. Тем не менее значительная часть узлов сети до сих пор работает на уязвимых версиях, что указывает на сохраняющиеся риски.

Стандартная практика раскрытия уязвимостей после прекращения поддержки уязвимых версий применяется для минимизации окна эксплуатации: пока патч не станет доступен всем пользователям, публичное раскрытие создаёт угрозу массовых атак. Данный случай демонстрирует, что даже в высокозащищённых проектах с длительным циклом поддержки часть инфраструктуры остаётся незащищённой в переходный период.