Puntos clave de la noticia:
- Bitcoin Core corrigió en silencio el CVE-2024-52911, su primer bug de seguridad de memoria, antes de divulgarlo públicamente esta semana.
- La falla afectó todas las versiones desde la 0.14.0 hasta la 28.x y permitía a un minero crashear nodos remotamente con bloques inválidos.
- Cerca del 43% de los nodos activos todavía ejecutarían software anterior a la versión 29.0, lo que los mantiene expuestos.
Bitcoin Core parcheó en secreto la primera vulnerabilidad de seguridad de memoria en la historia del proyecto, meses antes de revelarla públicamente. La falla, catalogada como CVE-2024-52911 y clasificada de alta severidad, afectó todas las versiones del software entre la 0.14.0 y la 28.x, y daba lugar a la posibilidad de que un minero malicioso pudiera crashear nodos ajenos de forma remota mediante bloques inválidos especialmente diseñados.
El error corresponde a una vulnerabilidad del tipo *use-after-free* en el motor de validación de scripts. Durante la validación de bloques, datos precalculados y almacenados en caché podían ser destruidos mientras un hilo de validación en segundo plano aún los estaba leyendo. Dado el mecanismo subyacente, el exploit no solo habilitaba el cierre abrupto del nodo, sino que dejaba abierta, aunque improbable, la posibilidad de hacer una ejecución remota de código durante el estado anormal de memoria resultante.
Bitcoin Core: Un Parche Silencioso que Protegió la Red
Cory Fields, investigador del MIT Digital Currency Initiative, descubrió la vulnerabilidad y la reportó de forma privada el 2 de noviembre de 2024. Cuatro días después, el desarrollador de Bitcoin Core Pieter Wuille implementó una corrección encubierta, deliberadamente titulada «Improve parallel script validation error debug logging» para no alertar a posibles atacantes. El fix fue incorporado al repositorio en diciembre de 2024 y distribuido con Bitcoin Core v29.0 en abril de 2025.
La divulgación pública se concretó recién cuando la línea de versiones 28.x llegó a su fin de vida el 19 de abril de 2026. El desarrollador Niklas Gögge destacó que se trata del primer problema de seguridad de memoria registrado en los aproximadamente dos años de historial de avisos de seguridad públicos del proyecto, y reconoció la divulgación responsable de Fields.
¿Por qué No Hubo Exploit?
El elemento disuasivo integrado en el vector de ataque también merece atención: cualquier minero que intentara explotarlo habría necesitado quemar hashpower real en bloques inválidos sin recompensa alguna, una pérdida garantizada que probablemente derivo en que la vulnerabilidad esté inactiva en la práctica.
Las reglas de consenso de Bitcoin no fueron afectadas en ningún momento, ya que el bug estuvo confinado al manejo de memoria del software de nodo. Sin embargo, según estimaciones basadas en el dashboard de Clark Moody, alrededor del 43% de los nodos activos todavía correrían versiones anteriores a la v29.0 y permanecerían expuestos.
