L'équipe Bitcoin Core a corrigé une faille de sécurité liée à la mémoire. Cependant, une part importante des nœuds exécute encore des versions vulnérables du client.
Nouvelle alerte de niveau de gravité élevé publiée : https://t.co/zBboOF1IJC
— Projet Bitcoin Core (@bitcoincoreorg) 5 mai 2026
Le bug a été découvert par le chercheur Corey Fields et signalé le 2 novembre 2024.
Quelques jours plus tard, le développeur Peter Vuille a publié un correctif caché : afin de ne pas attirer l’attention des attaquants, il a été publié sous un nom neutre, comme une autre amélioration du système de vérification des scripts parallèles.
Le correctif a été intégré au code source en décembre 2024 et inclus dans la version 29.0 de Bitcoin Core en avril 2025. La dernière branche vulnérable, la 28.x, a atteint sa fin de vie le 19 avril 2026, avant que les développeurs ne révèlent les détails.
Bitcoin Core a souligné que la vulnérabilité n'affectait pas les règles de consensus de la blockchain et concernait exclusivement le traitement de la mémoire locale dans le logiciel du nœud.
Quel était le problème ?
Cette vulnérabilité était la première faille de sécurité mémoire de l'histoire de Bitcoin Core. Dans certaines conditions, un mineur pouvait créer un bloc invalide spécialement conçu pour provoquer le plantage d'un nœud victime pendant la validation de scripts parallèles.
Ce problème ouvrait également la voie, en théorie, à l'exécution de code à distance en cas d'état mémoire incorrect. Bitcoin Core a jugé un tel scénario improbable en raison des limitations du format des blocs, mais a estimé le risque élevé.
L'attaque a été dissuadée par un simple facteur économique : pour exploiter la vulnérabilité, l'attaquant aurait dépensé de la puissance de hachage réelle à miner des blocs invalides sans recevoir de récompense.
Les développeurs ont corrigé le bug, mais une grande partie du réseau n'a pas encore été mise à jour. Selon Clark Moody, environ 43 % des nœuds Bitcoin fonctionnent toujours avec d'anciennes versions des clients.
Pour rappel, en avril, des programmeurs ont démontré des vulnérabilités dans le consensus Bitcoin.