币圈界报道：

比特币核心客户端曝远程崩溃漏洞 攻击者或可操控节点运行状态

比特币核心开发团队近日公开一项严重安全缺陷，该漏洞可能被矿工用于远程触发部分节点的非正常终止。据官方披露，漏洞编号为CVE-2024-52911，影响范围覆盖0.14.0至29.0之间的所有版本，当前仍有大量旧版节点处于在线状态。

区块验证流程中的内存管理缺陷引发潜在风险

该问题根植于比特币核心客户端的区块验证脚本解释器中。研究人员指出，攻击者可通过精心设计的异常区块，诱导节点在释放内存后仍尝试访问已失效的数据段。

在处理过程中，系统会预先计算交易输入并交由后台线程执行脚本校验。当接收到无效区块时，其缓存数据可能遭到破坏，而其他线程仍在试图读取这些已被清除的内容，从而导致程序崩溃。

开发团队表示，具备足够算力的攻击者理论上可借此实现对目标节点的远程中断。虽然存在远程代码执行的理论可能，但由于区块数据结构限制，实际操作难度极大，成功率极低。

攻击实施需承担巨额算力损耗 无经济回报

此类攻击难以大规模部署，主要因所需算力远超常规挖矿成本。攻击者必须生成一个拥有充分工作量证明的无效区块，并将其传播至链尾，但该区块无法获得任何区块奖励，投入将完全无法回收。

目前尚未发现该漏洞在真实网络环境中被利用的记录。此次公告旨在完整说明漏洞成因、修复路径及时间线。需要明确的是，该问题不涉及共识规则变更，仅与客户端内部内存处理逻辑有关。

从报告到修复：四阶段响应流程完成闭环

麻省理工学院数字货币研究中心的科里·菲尔兹于2024年11月2日提交了漏洞报告，附带概念验证代码和缓解建议。四天后，开发者彼得·维勒提交了隐蔽修复补丁，该代码于2024年12月3日合并入主干分支，并随2025年4月发布的比特币核心29.0版本正式上线。

此次披露严格遵循比特币核心的高危漏洞公开政策——在最后一个受影响版本生命周期结束后才对外公布。值得注意的是，由于比特币核心不支持自动更新，仍使用旧版本的用户将持续暴露于风险之中。

历史统计显示，截至2021年6月，约有21%的节点仍在运行过时的核心软件。这一现象解释了为何即便修复方案发布后，安全隐患仍长期存在，亟需社区推动主动升级。