Lỗ hổng nghiêm trọng trong Bitcoin Core cho phép thợ đào 'ép tắt' node, 43% mạng Bitcoin(BTC) vẫn chưa vá

Theo Cointelegraph đưa tin ngày 13 (giờ địa phương), nhóm phát triển **“Bitcoin Core”** vừa công bố một lỗ hổng nghiêm trọng cho phép thợ đào có thể từ xa “ép tắt” node hoặc thậm chí mở đường cho việc thực thi mã độc trên hệ thống. Dù đã được vá trong các bản cập nhật mới, ước tính vẫn còn tới 43% node sử dụng phần mềm cũ, khiến bảo mật mạng **“Bitcoin(BTC)”** tiếp tục bị đặt dấu hỏi.

Theo mô tả kỹ thuật, lỗ hổng được gán mã CVE-2024-52911 và ảnh hưởng đến các phiên bản **“Bitcoin Core”** từ 0.14.1 đến 28.4. Nhà phát triển Cory Fields (Cory Fields) là người đã báo cáo có trách nhiệm vấn đề này, còn bản vá được triển khai thông qua yêu cầu sửa đổi PR 31112 trong kho mã nguồn. Cụ thể, lỗi cho phép thợ đào tạo ra một khối (block) được “chế” đặc biệt, tác động tới trạng thái bộ nhớ của node đối phương, từ đó khiến ứng dụng bị crash hoặc trong kịch bản xấu hơn là dẫn tới khả năng thực thi mã từ xa.

bình luận Việc một lỗ hổng tồn tại âm thầm suốt nhiều năm trong phần mềm lõi của **“Bitcoin(BTC)”** đặt ra câu hỏi về quy trình rà soát bảo mật, dù cộng đồng vẫn thường tự hào rằng mã nguồn đã được kiểm tra kỹ lưỡng.

Theo giải thích từ nhóm **“Bitcoin Core”**, đây là dạng lỗi bộ nhớ kiểu “use-after-free” – một trong những loại lỗ hổng nguy hiểm trong lập trình hệ thống. Trong quá trình xác thực khối, phần mềm **“Bitcoin Core”** có bước tính toán và lưu trữ trước (cache) thông tin đầu vào giao dịch (transaction input). Tuy nhiên, do cách quản lý bộ nhớ đa luồng, có trường hợp một luồng (thread) vẫn tiếp tục tham chiếu đến vùng nhớ đã được giải phóng trước đó. Hành vi truy cập lại “bộ nhớ đã free” này có thể dẫn tới các trạng thái bất thường: từ crash ứng dụng, hỏng dữ liệu trong bộ nhớ, cho tới nguy cơ bị lợi dụng để chèn và thực thi mã độc từ xa nếu kẻ tấn công kiểm soát được cấu trúc dữ liệu phù hợp.

bình luận Với phần mềm tài chính phi tập trung như **“Bitcoin(BTC)”**, chỉ cần 1 lỗi “use-after-free” cũng đủ tạo ra bề mặt tấn công cực kỳ nhạy cảm, vì các node luôn xử lý dữ liệu đến từ mạng lưới công khai và không thể giả định nguồn tin cậy.

Dù mức độ nguy hiểm về mặt lý thuyết là rất cao, khả năng lỗ hổng CVE-2024-52911 bị khai thác trong thực tế được đánh giá là thấp. Để tiến hành tấn công, kẻ xấu cần sở hữu năng lực đào khối hợp lệ, sau đó tiêu tốn lượng tài nguyên tính toán lớn để tạo ra một block có cấu trúc chính xác theo “kịch bản tấn công”. Block này phải vượt qua các bước kiểm tra khác nhau để được node mục tiêu xử lý, đồng thời lại không mang lại phần thưởng kinh tế thông thường cho thợ đào.

Nói cách khác, đây là một “cuộc tấn công hợp lệ” trên lý thuyết, nhưng chi phí triển khai lại rất cao, trong khi lợi ích trực tiếp gần như bằng 0. Đa số thợ đào khó có động lực tự cắt giảm lợi nhuận từ block reward và phí giao dịch chỉ để làm gián đoạn một số node trên mạng. Điều này phần nào giải thích vì sao lỗ hổng có thể âm thầm tồn tại hơn 5 năm mà không ghi nhận vụ tấn công công khai nào.

bình luận Dù chi phí cao giúp giảm rủi ro tấn công thực tế, cộng đồng **“Bitcoin(BTC)”** không thể chủ quan, vì các tác nhân nhà nước hoặc tổ chức có động cơ chính trị hoàn toàn có thể chấp nhận chi phí lớn để gây gián đoạn hạ tầng mạng.

Vấn đề đáng lo nằm ở chỗ việc nâng cấp node **“Bitcoin Core”** không diễn ra tự động. Các chủ node – từ cá nhân đến doanh nghiệp – phải chủ động cập nhật phần mềm. Điều này dẫn đến hiện tượng một phần đáng kể mạng lưới luôn “tụt hậu” so với phiên bản mới nhất. Theo một số ước tính, tối đa 43% tổng số node **“Bitcoin(BTC)”** vẫn còn vận hành trên các phiên bản trước v29, đồng nghĩa với việc vẫn chịu ảnh hưởng từ lỗ hổng CVE-2024-52911.

Lịch trình xử lý lỗ hổng cũng được công bố tương đối chi tiết. Lần đầu tiên vấn đề được Cory Fields phát hiện và gửi báo cáo kín vào tháng 11 năm 2024. Chỉ ba ngày sau đó, nhà phát triển Pieter Wuille (Pieter Wuille) đã đề xuất bản sửa lỗi. Bản vá chính thức được tích hợp vào **“Bitcoin Core”** 29.0 phát hành tháng 4 năm 2025, trong khi nhánh 28.x vẫn được hỗ trợ đến hết ngày 19 tháng 4 năm 2026 rồi mới ngừng cập nhật. Nhóm **“Bitcoin Core”** nhấn mạnh lỗi này không làm thay đổi các quy tắc đồng thuận (consensus rules) của **“Bitcoin(BTC)”**, mà tập trung ở lớp triển khai phần mềm node.

bình luận Quy trình “báo cáo kín – vá lỗi – trì hoãn công bố chi tiết” cho thấy cộng đồng phát triển **“Bitcoin(BTC)”** vẫn lựa chọn cách tiếp cận bảo mật có trách nhiệm, ưu tiên giảm thiểu nguy cơ bị khai thác trước khi thông tin đầy đủ được tung ra.

Việc công bố muộn lỗ hổng CVE-2024-52911 làm nổi bật thêm một thực tế: các điểm yếu tồn tại trong phần mềm trụ cột của **“Bitcoin(BTC)”** có thể kéo dài qua nhiều năm trước khi bị phát hiện và xử lý triệt để. Trong bối cảnh đó, nguy cơ lớn không chỉ nằm ở bản chất giao thức **“Bitcoin(BTC)”**, mà còn đến từ môi trường vận hành node – nơi việc cập nhật bảo mật thường bị trì hoãn vì thói quen “ổn thì không động vào”.

bình luận Đối với nhà đầu tư và doanh nghiệp vận hành hạ tầng, bài học rút ra là cần coi việc cập nhật node **“Bitcoin Core”** đúng phiên bản, giám sát bảo mật và kiểm thử định kỳ là một phần bắt buộc trong quản trị rủi ro, thay vì chỉ tập trung vào giá **“Bitcoin(BTC)”** hay hiệu suất đào.

Tổng kết lại, lỗ hổng **“Bitcoin Core”** CVE-2024-52911 cho thấy một nghịch lý quen thuộc của hệ sinh thái **“Bitcoin(BTC)”**: giao thức lõi được thiết kế chắc chắn, nhưng lớp triển khai và thói quen vận hành node vẫn là mắt xích yếu. Khi tới 43% node có thể vẫn chạy phiên bản cũ, áp lực nâng cấp và siết chặt quy trình bảo mật phần mềm sẽ là chủ đề nóng trong cộng đồng **“Bitcoin(BTC)”** thời gian tới.