Bitcoin Core geliştiricileri, madencilerin Bitcoin ağındaki diğer düğümleri uzaktan çökertmesine ve hatta kod çalıştırmasına olanak tanıyan CVE-2024-52911 adlı ciddi bir güvenlik açığını duyurdu.
Söz konusu hata, Bitcoin Core 0.14.1 ile 28.4 arasındaki tüm sürümleri etkiliyor. Geliştirici Cory Fields, hatayı sorumlu bir şekilde bildirerek PR 31112 adlı düzeltme önerisini sunmuş ve yüksek önem derecesine sahip bu güvenlik açığı kapatılmıştı.
Saldırı Nasıl Gerçekleşiyordu?
Saldırganlar, özel olarak hazırlanmış bloklar üreterek yeterli iş kanıtı (proof-of-work) sağladıklarında, hedef düğümleri çökertmenin yanı sıra belleklerini ele geçirerek uzaktan kod çalıştırma gerçekleştirebiliyordu.
Ancak bu saldırının uygulanabilmesi için oldukça maliyetli bir yol izlenmesi gerekiyordu. Saldırganlar, elektrik tüketimi yüksek olan hash gücünü kullanarak geçersiz bloklar oluşturmak zorundaydı. Bu bloklar, madencilik ödüllerine hak kazanamadığı için saldırganlar için ekonomik olarak kârsız bir girişimdi.
Bellek Güvenliği Açığı: Kullandıktan Sonra Serbest Bırakma Hatası
Bitcoin Core’nin danışma notuna göre, hata bir kullandıktan sonra serbest bırakma (use-after-free) bellek güvenliği açığı olarak sınıflandırıldı. Blok doğrulama sırasında yazılım, işlem girdilerini önceden hesaplayıp önbelleğe alıyor ve ardından arka plan iş parçacıklarına bu verileri doğrulama görevi veriyor.
Eğer bir saldırı gerçekleşirse, düğüm önbellekteki veriyi serbest bırakılmış bellekten okumaya devam edebiliyor. Bu durumda, düğümün arka plan script doğrulama iş parçacığı, verinin başka bir işlem tarafından serbest bırakılmış olmasına rağmen okumaya devam ediyor ve bu da uzaktan kod çalıştırma riskini doğuruyor.
Bitcoin Düğümlerinin Yüzde 43’ü Hala Risk Altında
Bitcoin Core’nin gönüllülük esasına dayalı olan ve otomatik olmayan güncelleme sistemi nedeniyle, ağdaki düğümlerin önemli bir kısmı hala eski ve savunmasız sürümleri kullanıyor. Tahminlere göre, Bitcoin düğümlerinin %43’ü hâlâ 29. sürümün altında çalışan yazılımlara sahip.
Bu durum, saldırganların hedef düğümleri kolayca bulabileceği ve potansiyel olarak ağın güvenliğini tehlikeye atabileceği anlamına geliyor.
Hata 2024 Yılında Tespit Edildi ve Düzeltildi
Kasım 2024’te Cory Fields tarafından tespit edilen hata, sorumlu bir şekilde geliştirici ekibe bildirildi. Dört gün içinde Pieter Wuille, hatayı düzeltmek için PR 31112 adlı öneriyi sundu. Düzeltme önerisi, teknik bakım çalışması gibi gösterilerek dikkat çekmemesi amaçlandı.
Bitcoin Core ekibi, bu hatanın ağın güvenliği için ciddi bir tehdit oluşturduğunu ancak henüz aktif olarak kullanılmadığını belirtti. Yine de, düğüm sahiplerinin en kısa sürede 29. veya üstü sürümlere geçmeleri öneriliyor.
İlgili haberler
Bitcoin ETF’lere 1 Milyar Dolarlık Çıkış: Enflasyon Endişeleri Kurumsal Talebi Vurdu
US-listed Bitcoin ETF flows have suffered their most severe weekly capital flight since the end of January, with investors pulling exactly $1 billion...
Strateji, Bitcoin satışını borç ödemelerinde kullanacak mı? Etkileri ne olabilir?
Strategy agreed on May 15 to repurchase roughly $1.5 billion principal of its 2029 convertible notes for an estimated $1.38 billion in cash. The firm...
Bitcoin Açık Turnuvası 2026'da Glen Abbey Golf Kulübü'nde
Bitcoin Magazine Bitcoin Open Heads to Iconic Glen Abbey Golf Club for June 8, 2026 Event The Bitcoin Open, a combined golf and poker tournament organ...
ABD Hazine Tahvillerindeki Yükseliş Bitcoin’i 82.000 Doların Altına İtti
Bitcoin’s latest retreat below $80,000 shows how quickly the bond market has reclaimed control of crypto trading, even after lawmakers advanced one of...
Abu Dabi’nin Mubadala Fonu Bitcoin ETF’deki Payını %16 Artırdı: 566 Milyon Dolara Ulaştı
Bitcoin Magazine Abu Dhabi’s Mubadala Raises Bitcoin ETF Stake 16% to $566 Million in Q1 2026 Abu Dhabi’s sovereign wealth fund Mubadala Investment Co...
Winklevoss Kardeşlerden 100 Milyon Dolarlık Bitcoin Yatırımı: Gemini Hisse Senedi Yükselişe Geçti
Bitcoin Magazine Gemini Stock Jumps After Winklevoss Twins Make $100M Bitcoin Bet on Company Future Cameron and Tyler Winklevoss made their boldest st...
Kraken, Bitcoin'i Chainlink'e taşıyor: DeFi'deki köprü güvenliği endişeleri
Kraken is moving its wrapped Bitcoin (kBTC) to Chainlink CCIP as bridge-security fears continue spreading across DeFi, turning the bridge-security deb...
Bitcoin: 177 Milyar Dolarlık Risk iştahı ile Fed’in Faiz Artırma Korkusu Arasında Sıkıştı
Investors are piling into leveraged ETFs at a record pace, turning the Bitcoin risk-on boom into a test of whether speculative demand can survive hott...