Bitcoin Ağında Bir Kritik Hata Daha Bulundu: Bazı Düğümler Tamamen Çökebilir
Bitcoin geliştiricileri, bugün bir başka yüksek dereceli yazılım hatasına dair detayları açıkladı. Kıdemli Bitcoin Core geliştiricilerine göre dünya genelinde Bitcoin kurallarını uygulayan ev ve iş bilgisayarlarının yüzde 13’ünden fazlası, uzaktan kapatılmaya karşı savunmasız durumda.
CVE-2024-35202 olarak adlandırılan bu hata, Bitcoin Core yazılımının 25.0 sürümünden önceki versiyonlarını çalıştıran düğümleri (node) etkiliyor. 25.0 veya daha yeni bir sürüme güncellenmeyen düğümler, saldırganların yazılımın blok işlem (blocktxn) mesajlarını işleme mantığındaki bir açığı kullanarak bu düğümleri uzaktan kapatmalarına olanak tanıyor.
Bu güvenlik açığı, Core’un internet bant genişliğini azaltmak amacıyla kullanılan kompakt blok protokolünden kaynaklanıyor. Saldırgan, bu protokolde kullanılan kısaltılmış işlem kimliklerinde bir çakışmayı tetikleyerek düğümün tam bir blok istemesine yol açabiliyor. Normalde tam blok istemek bir güvenlik önlemi olsa da, 25.0 sürümünden önceki yazılımlar, sonrasında alınan blocktxn mesajlarını hatalı işlediği için düğümün çökmesine neden olabiliyor.
Bitcoin Core otomatik güncelleme yapmıyor
Bu hatayı keşfeden ve açıklayan Niklas Gögge, aynı zamanda Bitcoin Core v25.0’da uygulanan düzeltmeyi de sağladı. Bu hata, Gögge’nin hazırladığı 26898 numaralı pull request ile düzeltilmiş ve 26 Mayıs 2023’te yazılımın üretim sürümüne eklenmişti.
BitNodes.io tarafından takip edilen internet erişimine açık düğümlere göre Bitcoin ağında faaliyet gösteren 18.843 düğümün yüzde 13,7’si bu saldırıya karşı savunmasız durumda. Geliştiriciler, tüm düğüm operatörlerine bu güvenlik açığını kapatmak için yazılımlarını en kısa sürede güncellemeleri gerektiğini vurguluyor.
Bu hata oldukça ciddi olmasına rağmen ortalama bir saldırganın finansal kazanç elde etmesi zor. Saldırı, kompakt blok protokolünde sofistike bir manipülasyon gerektiriyor ve Bitcoin’in çifte harcanmasını (double spend) mümkün kılmıyor. Ancak, bu tür bir güvenlik açığı, Bitcoin ağının işleyişini finansal amaçlarla bozmak isteyen kurumsal ya da devlet destekli aktörler tarafından kullanılabilir.
Bu güvenlik açığının duyurulması, Bitcoin Core geliştiricilerinin eski yazılım sürümlerindeki ciddi açıkları açıklama eğilimini takip ediyor. Bitcoin Core yazılımı varsayılan olarak otomatik güncellenmediği için, düğüm operatörlerinin yazılımlarını manuel olarak indirip, doğrulayıp güncellemeleri gerekiyor.