นักพัฒนา Bitcoin Core เปิดเผยช่องโหว่ระดับความรุนแรงสูง ที่อาจทำให้นักขุดสามารถสั่งให้โหนด Bitcoin บางส่วนล่มได้จากระยะไกล
สรุป
- Bitcoin Core เปิดเผย CVE-2024-52911 ซึ่งกระทบเวอร์ชันที่ต่ำกว่า 29.0 โดยโหนดยุคเก่ายังถูกเปิดใช้งานออนไลน์อยู่
- นักขุดต้องสร้างบล็อกที่ต้องใช้การพิสูจน์การทำงาน (proof-of-work) แบบมีค่าใช้จ่ายสูงเพื่อกระตุ้นให้ล่ม ทำให้ความเป็นไปได้ของการนำไปใช้โจมตีในโลกจริงมีน้อยสำหรับผู้โจมตีในเชิงประวัติศาสตร์
- Cory Fields รายงานช่องโหว่นี้แบบส่วนตัวในปี 2024 ก่อนที่ Bitcoin Core 29.0 จะเผยแพร่ซอฟต์แวร์ที่แก้ไขแล้ว
ปัญหาดังกล่าวซึ่งถูกติดตามเป็น CVE-2024-52911 กระทบ Bitcoin Core เวอร์ชันหลัง 0.14.0 และก่อน 29.0 โดยช่องโหว่นี้ได้รับการแก้ไขใน Bitcoin Core 29.0 ซึ่งเปิดตัวในเดือนเมษายน 2025
Bitcoin Core เผยแพร่เรื่องนี้ต่อสาธารณะในวันที่ 5 พฤษภาคม 2026 หลังจากสายการเผยแพร่ 28.x ที่ยังเปราะบางสุดท้ายสิ้นสุดอายุการใช้งาน (end of life) ในวันที่ 19 เมษายน
บั๊กกระทบการตรวจสอบความถูกต้องของบล็อก
ประเด็นนี้เกี่ยวข้องกับตัวแปลสคริปต์ (script interpreter) ของ Bitcoin Core ระหว่างการตรวจสอบความถูกต้องของบล็อก Bitcoin Core ระบุว่าบล็อกที่ถูกสร้างขึ้นมาโดยเฉพาะอาจทำให้โหนดเข้าถึงหน่วยความจำหลังจากข้อมูลนั้นถูกปล่อยคืน (freed) ไปแล้ว
ระหว่างการตรวจสอบ Bitcoin Core จะคำนวณข้อมูลอินพุตของธุรกรรมไว้ล่วงหน้า แล้วส่งการตรวจสอบสคริปต์ไปยังเธรดเบื้องหลัง ในบางกรณี บล็อกที่ไม่ถูกต้องอาจทำลายข้อมูลที่แคชไว้ ในขณะที่เธรดอีกตัวยังพยายามอ่านมันอยู่
Bitcoin Core ระบุว่าสิ่งนี้อาจทำให้อัตคเกอร์ที่มี proof-of-work เพียงพอทำให้โหนดเป้าหมายล่มได้ นอกจากนี้ยังระบุว่า “เป็นไปได้” ที่อาการล่มอาจนำไปสู่การรันโค้ดระยะไกล แต่ข้อจำกัดของข้อมูลในบล็อกทำให้ผลลัพธ์ดังกล่าว “ไม่น่าจะเกิดขึ้น”
การโจมตีต้องใช้การขุดที่มีค่าใช้จ่ายสูง
การโจมตีไม่ได้ง่ายที่จะทำ นักขุดจะต้องสร้างบล็อกที่ถูกออกแบบมาเป็นพิเศษ พร้อม proof-of-work เพียงพอเพื่อไปให้ถึงปลายทาง (chain tip)
สิ่งนี้ทำให้การโจมตีมีค่าใช้จ่ายสูง เพราะบล็อกดังกล่าวจะเป็นบล็อกที่ไม่ถูกต้อง มันไม่สามารถรับรางวัลบล็อกตามปกติได้ ทำให้อัตคเกอร์ต้องเสียการใช้พลังแฮช (hashpower) โดยไม่ได้เงินตอบแทนจากการขุดตามปกติ
Bitcoin Core ไม่ได้ระบุว่าช่องโหว่นี้ถูกนำไปใช้ในโจมตีจริงหรือไม่ คำแนะนำ (advisory) มุ่งเน้นที่ตัวบั๊ก วิธีแก้ไข และไทม์ไลน์การเปิดเผย
บั๊กดังกล่าวไม่ได้เปลี่ยนกติกาฉันทามติของ Bitcoin มันเชื่อมโยงกับการจัดการหน่วยความจำในซอฟต์แวร์ Bitcoin Core ไม่ใช่กติกาที่นิยามว่าธุรกรรมหรือบล็อกของ Bitcoin แบบใดถือว่าถูกต้อง
Cory Fields รายงานช่องโหว่นี้
Cory Fields จาก MIT Digital Currency Initiative รายงานช่องโหว่นี้แบบส่วนตัวในวันที่ 2 พ.ย. 2024 Bitcoin Core ระบุว่ารายงานดังกล่าวมีทั้งตัวอย่างการพิสูจน์แนวคิด (proof of concept) และแนวทางที่เสนอเพื่อลดความเสี่ยง
Pieter Wuille ผลักดันการแก้ไขแบบปิดบังสี่วันต่อมา ผ่าน PR 31112 คำขอดึง (pull request) ถูกผสาน (merged) ในวันที่ 3 ธ.ค. 2024 ก่อนที่ Bitcoin Core 29.0 จะเผยแพร่โดยมีการใส่แพตช์ในเดือนเมษายน 2025
คำแนะนำดังกล่าวเป็นไปตามนโยบายการเปิดเผยของ Bitcoin Core สำหรับช่องโหว่ระดับความรุนแรงสูง โดยนโยบายระบุว่าเรื่องที่มีความรุนแรงสูงจะถูกเปิดเผยหลังจากการเผยแพร่ครั้งสุดท้ายที่ได้รับผลกระทบสิ้นสุดอายุการใช้งานแล้ว
นอกจากนี้ ผู้ให้บริการโหนดที่ใช้ Bitcoin Core เวอร์ชันก่อน 29.0 ยังต้องเผชิญกับบั๊กเดิม เนื่องจาก Bitcoin Core ไม่ได้อัปเดตอัตโนมัติ ผู้ใช้จึงต้องติดตั้งเวอร์ชันใหม่ด้วยตนเอง
รายงานก่อนหน้านี้เกี่ยวกับความเสี่ยงจากการกระจายอำนาจบนบล็อกเชน อ้างงานวิจัยที่พบว่าในเดือนมิถุนายน 2021 มีโหนด Bitcoin 21% ใช้ซอฟต์แวร์ Bitcoin Core เวอร์ชันล้าสมัย บริบทนี้ชี้ให้เห็นว่าทำไมเวอร์ชันไคลเอนต์ที่เก่ากว่าสามารถยังคงเป็นข้อกังวลด้านความปลอดภัยได้ต่อไปอีกนานหลังจากมีการส่งแพตช์ออกมาแล้ว
btc.bar.articles
US Bitcoin ETFs ดึงเงิน 3.4 พันล้านดอลลาร์ในกระแสไหลเข้า 6 สัปดาห์ติด
ตามข้อมูลของ SoSoValue กองทุน US spot Bitcoin ETF บันทึกเงินไหลเข้าสุทธิ 622.75 ล้านดอลลาร์สหรัฐในสัปดาห์สิ้นสุดวันที่ 8 พฤษภาคม ซึ่งต่อยอดสตรีคไหลเข้า 6 สัปดาห์ติดต่อกันยาวที่สุดนับตั้งแต่เดือนสิงหาคม 2025 สตรีคปัจจุบันที่กินตั้งแต่สัปดาห์ที่ 2 เมษายนถึง 8 พฤษภาคม รวมเงินไหลเข้า 3.4 พันล้านดอลลาร์สหรัฐ มุมมองสัปดาห์ที่แข็งแกร่งที่สุดเกิดขึ้นเมื่อวันที่ 17 เมษายนด้วยเงินไหลเข้า 996.38 ล้านดอลลาร์สหรัฐ ขณะที่สัปดาห์ล่าสุดมีความผันผวนช่วงปลายสัปดาห์ โดยมียอดไหลออก 277.50 ล้านดอลลาร์สหรัฐในวันพฤหัส
GateNews28 นาที ที่แล้ว
CME Group ตั้งเป้าปล่อยตัววันที่ 1 มิถุนายนสำหรับสัญญา Bitcoin ที่เกี่ยวกับความผันผวน โดยรอการทบทวนจาก CFTC
CME Group ประกาศสัปดาห์นี้ว่าแผนจะเปิดตัวสัญญาซื้อขายฟิวเจอร์สความผันผวนของ Bitcoin (Bitcoin Volatility futures: BVI) ในวันที่ 1 มิถุนายน 2026 โดยจะทำให้นักเทรดสถาบันมีสัญญาที่อยู่ภายใต้การกำกับดูแลของ CFTC เป็นครั้งแรก ซึ่งสามารถเทรดความผันผวนที่คาดการณ์ของราคา bitcoin ได้โดยไม่ต้องขึ้นกับทิศทางของราคาโดยตรง ประเด็นสำคัญ: CME Group วางแผนเปิดตัว Bitcoin Volatility futures (BVI) ในวันที่ 1 มิถุนายน 2026 โดยขึ้นอยู่กับการอนุมัติจาก CFTC ผลิตภัณฑ์ BVI ของ CME มูลค่า 500 ดอลลาร์ต่อสัญญา มอบเครื่องม
Coinpedia58 นาที ที่แล้ว
ผู้ถือ Bitcoin รับรู้กำไรต่อวัน 14,600 BTC ในวันที่ 4 พฤษภาคม มากที่สุดนับตั้งแต่เดือนธันวาคม
ตามการวิเคราะห์ของ CryptoQuant เมื่อวันที่ 4 พฤษภาคม ผู้ถือ bitcoin รับรู้กำไรระยะสั้นรายวันไปแล้ว 14,600 BTC ซึ่งเป็นระดับสูงสุดนับตั้งแต่วันที่ 10 ธันวาคม 2025 อัตราส่วนกำไรที่ถูกใช้จ่ายของผู้ถือระยะสั้น (STH-SOPR) เพิ่มขึ้นเป็น 1.016 และยังคงอยู่เหนือ 1.00 ตั้งแต่ช่วงกลางเดือนเมษายน บ่งชี้ว่า bitcoin อยู่ในโซนที่เห็นการทำกำไรอย่างชัดเจน สำหรับกรอบเวลาแบบหมุน 30 วัน ผู้ถือกำลังรับรู้กำไรสุทธิเป็นบวก 20,000 BTC ซึ่งเป็นการอ่านค่าเชิงบวกครั้งแรกนับตั้งแต่วันที่ 22 ธันวาคม 2025 อย่างไรก็ตาม ยังคง
GateNews3 ชั่วโมง ที่แล้ว
Santiment ออกคำเตือน “ความโลภขั้นสุด” ขณะที่ Bitcoin แตะ $82,800 สัปดาห์นี้
ตาม Santiment สัปดาห์นี้ Bitcoin พุ่งขึ้นแตะ $82,800 ซึ่งถือเป็นผลงานที่ดีที่สุดในรอบ 3 เดือน อย่างไรก็ตาม บริษัทวิเคราะห์ได้ระบุว่าแรงส่งของตลาดในขณะนี้กำลังเข้าสู่โซน “ความโลภขั้นรุนแรง” ซึ่งมักเป็นสัญญาณก่อนเกิดการปรับฐานราคา Santiment เตือนว่าราคามีโอกาสลดลงสู่ระดับ $75,000 โดยอ้างอิงอัตรา MVRV ช่วงสั้นอยู่ราว 3.5% ซึ่งเพิ่มความเสี่ยงต่อการทำกำไรระยะสั้น นอกจากนี้ บริษัทได้กล่าวด้วยว่าในช่วง 6 วันที่ผ่านมา มีการเทกระเป๋าเงินของนักลงทุนรายย่อยราว 272,000 วอลเล็ต และตีความว่าเป็นการที่นักลงทุน
GateNews3 ชั่วโมง ที่แล้ว
BTC ทะลุ 81,000 USDT
ข้อความจากบอท Gate News ขณะเดียวกันหน้าข้อมูลตลาดของ Gate แสดงว่า BTC ทะลุ 81,000 USDT โดยราคาปัจจุบันอยู่ที่ 81,032.2 USDT
CryptoRadar4 ชั่วโมง ที่แล้ว
