Sicherheitslücke in Bitcoin Core ermöglichte Code-Ausführung auf fremden Knoten

Kritische Sicherheitslücke in Bitcoin Core entdeckt

Entwickler des Bitcoin Core-Projekts haben eine schwerwiegende Sicherheitslücke (CVE-2024-52911) in der Bitcoin-Software identifiziert. Die Schwachstelle ermöglichte es Minern, über speziell konstruierte Blöcke fremde Bitcoin-Knoten gezielt zum Absturz zu bringen und im schlimmsten Fall Schadcode auszuführen. Betroffen sind alle Versionen von Bitcoin Core zwischen 0.14.1 und 28.4.

Wie der Angriff funktionierte

Die Schwachstelle basiert auf einem sogenannten Use-After-Free-Fehler im Validierungsmodul der Software. Dabei handelt es sich um einen Speicherfehler, der auftritt, wenn ein Programm versucht, auf bereits freigegebene Speicherbereiche zuzugreifen. Im Fall von Bitcoin Core konnte dies während der parallelen Skriptvalidierung passieren:

• Bitcoin Core berechnet und speichert Transaktionsdaten im Voraus, um die Validierung zu beschleunigen.
• Bei der parallelen Verarbeitung greifen Hintergrund-Threads auf diese zwischengespeicherten Daten zu.
• Ein Angreifer konnte durch einen speziell präparierten Block eine Situation herbeiführen, in der die Daten bereits aus dem Speicher gelöscht waren, während die Hintergrund-Threads noch darauf zugreifen wollten.
• Dies führte entweder zum Absturz des Knotens oder ermöglichte die Ausführung von Schadcode.

Hohe Kosten verhinderten Missbrauch

Obwohl die Schwachstelle theoretisch gefährlich war, blieb ihr praktischer Einsatz unwahrscheinlich. Ein erfolgreicher Angriff erforderte:

• Erhebliche Rechenleistung, um Blöcke mit ausreichendem Proof-of-Work zu erzeugen.
• Dass die manipulierten Blöcke nicht in die Blockchain aufgenommen wurden, da sie ungültig waren und keine Belohnung generierten.
• Eine gezielte Ausnutzung, die wirtschaftlich unattraktiv war.

Dennoch betonte das Bitcoin Core-Team, dass die Möglichkeit der Remote-Code-Ausführung bestand, auch wenn keine konkreten Fälle bekannt sind.

Veraltete Knoten weiterhin gefährdet

Ein großes Problem stellt die langsame Verbreitung von Sicherheitsupdates dar. Da Bitcoin-Knoten-Updates freiwillig sind und nicht automatisch erfolgen, nutzen laut Schätzungen noch bis zu 43 % der Bitcoin-Knoten veraltete und damit anfällige Softwareversionen. Besonders betroffen sind Knoten, die noch auf Code vor Version 29 basieren.

Das Bitcoin Core-Team rät dringend zur Aktualisierung auf Version 29 oder höher, um das Risiko zu minimieren. Die neueste stabile Version (v30) behebt nicht nur diese, sondern auch andere bekannte Sicherheitsprobleme.

Verantwortungsvolle Offenlegung im November 2024

Entdeckt wurde die Schwachstelle bereits im November 2024 von Entwickler Cory Fields. Dieser meldete den Fehler privat an das Bitcoin Core-Team. Innerhalb von nur vier Tagen wurde ein Fix als Pull Request 31112 eingereicht. Der Patch wurde als scheinbar harmlose Wartungsarbeit getarnt, um mögliche Angreifer nicht auf die Schwachstelle aufmerksam zu machen.

Fields, der auch für das Digital Currency Initiative (DCI) am MIT arbeitet, gilt als einer der Hauptverantwortlichen für die Entdeckung und Meldung der Sicherheitslücke. In einem Tweet bezeichnete er die Schwachstelle als erste jemals veröffentlichte Speichersicherheitslücke in Bitcoin Core.

"Wir veröffentlichen seit etwa zwei Jahren Sicherheitshinweise für Bitcoin Core – und dies ist (soweit mir bekannt) die erste jemals gemeldete Speichersicherheitslücke: Ein Use-After-Free-Fehler im Validierungsmodul."
— Niklas Gögge (@dergoegge), 5. Mai 2026

Handlungsempfehlungen für Bitcoin-Nutzer

Um sich vor dieser und anderen Sicherheitslücken zu schützen, sollten Bitcoin-Nutzer folgende Schritte unternehmen:

• Aktualisierung des Bitcoin Core-Clients auf Version 29 oder höher (empfohlen: v30).
• Überprüfung der eigenen Knoten-Software, falls ein eigener Bitcoin-Knoten betrieben wird.
• Warnung an Netzwerkteilnehmer, insbesondere Betreiber von Mining-Pools oder Börsen, die veraltete Software nutzen.
• Beobachtung von Sicherheitshinweisen des Bitcoin Core-Teams und anderer vertrauenswürdiger Quellen.

Die Sicherheitslücke unterstreicht einmal mehr die Bedeutung regelmäßiger Updates und einer aktiven Community, die potenzielle Bedrohungen schnell erkennt und behebt.