Bitcoin Core, divulgato il primo bug di memoria della storia
Il 5 maggio 2026, il team di sviluppo di Bitcoin Core ha reso pubblica la vulnerabilità CVE-2024-52911, una falla di sicurezza critica che affligge tutte le versioni del software comprese tra la 0.14.1 e la 28.4. Secondo i ricercatori, si tratta del primo bug di tipo “memory safety” mai documentato nella storia di Bitcoin Core — un primato che ha attirato l’attenzione di tutto il settore. La versione 29.0, rilasciata nell’aprile 2025, ha già risolto il problema, ma circa il 43% dei nodi attivi gira ancora su software vulnerabile.
Cos’è la CVE-2024-52911 e come funzionava l’attacco
La vulnerabilità sfruttava un errore di tipo use-after-free (accesso a memoria già liberata) nel motore di validazione degli script di Bitcoin Core. In termini semplici: durante la verifica di un blocco, il software metteva in cache i dati delle transazioni e delegava la validazione a thread paralleli in background. Un miner malevolo avrebbe potuto costruire un blocco appositamente modificato — con proof-of-work valida — per indurre il nodo vittima a leggere aree di memoria già deallocate.
Questo stato anomalo della memoria avrebbe potuto causare due scenari distinti: il crash del nodo (con conseguente interruzione del servizio) oppure, nel caso più grave, l’esecuzione di codice remoto sulla macchina della vittima. I thread di validazione in background, accedendo a dati di transazione già distrutti dal processo principale, diventavano il vettore dell’attacco.
Chi ha scoperto il bug e perché l’attacco era poco praticabile
La vulnerabilità fu identificata nel novembre 2024 da Cory Fields del Distributed Compliance Initiative, che la segnalò privatamente agli sviluppatori seguendo le procedure di responsible disclosure. Solo quattro giorni dopo la segnalazione, lo sviluppatore core Pieter Wuille presentò la Pull Request 31112, volutamente camuffata come manutenzione ordinaria per non attirare attenzione prima del fix.
Il fattore chiave che ha reso l’attacco economicamente non conveniente è l’enorme costo in hashing power richiesto: per sfruttare il bug, un miner avrebbe dovuto dedicare risorse computazionali significative al mining di blocchi non validi, rinunciando alle relative coinbase reward. Come ha precisato il developer Niklas Gögge, la combinazione di costi elettrici proibitivi e assenza di ricompense economiche rendeva l’exploit teoricamente possibile ma praticamente inattuabile.
Timeline: dalla scoperta alla divulgazione pubblica
| Data | Evento |
|---|---|
| Novembre 2024 | Cory Fields identifica e segnala privatamente CVE-2024-52911 |
| Novembre 2024 (4 giorni dopo) | Pieter Wuille presenta PR 31112 (patch camuffata) |
| Dicembre 2024 | Consenso tecnico raggiunto — merge in produzione |
| Aprile 2025 | Rilascio di Bitcoin Core v29.0 con la patch integrata |
| 19 aprile 2026 | Fine del ciclo di supporto per la linea 28.x |
| 5 maggio 2026 | Divulgazione pubblica della vulnerabilità |
Il 43% dei nodi usa ancora software vulnerabile
Secondo i dati di rete al momento della divulgazione, circa il 43% dei nodi Bitcoin attivi gira su versioni precedenti alla 29.0 e risulta quindi ancora esposto alla CVE-2024-52911. Niklas Gögge ha definito esplicitamente questo come “il primo memory safety issue nella storia di Bitcoin Core”, sottolineando l’eccezionalità dell’evento e lodando Fields per la gestione responsabile della segnalazione.
BitcoinLive24 ricorda che aggiornare il proprio nodo è sempre una buona pratica, indipendentemente dall’entità del rischio percepito: versioni obsolete possono essere vulnerabili a exploit futuri non ancora divulgati, oltre alla CVE-2024-52911.
Cosa significa per gli investitori e gli utenti Bitcoin
La notizia può generare preoccupazione, ma è importante inquadrarla correttamente. I fondi Bitcoin custoditi in wallet — hardware o software — non sono stati a rischio in nessun momento: la vulnerabilità riguardava esclusivamente chi gestisce un full node (nodo completo che verifica autonomamente la blockchain), non chi detiene semplicemente Bitcoin.
L’eventuale attacco avrebbe colpito la stabilità di singoli nodi, non il protocollo Bitcoin nel suo complesso. La rete è per natura decentralizzata: anche se alcuni nodi fossero stati compromessi, il consenso globale della blockchain non sarebbe stato alterato. Detto ciò, la salute della rete dipende dalla diversità e dal numero di nodi attivi: chi gestisce un nodo ha un forte incentivo ad aggiornarsi alla versione 29.x o superiore.
Per chi detiene Bitcoin tramite exchange o wallet come hardware wallet, non è necessaria alcuna azione. Chi invece gestisce un nodo dovrebbe aggiornare immediatamente a Bitcoin Core 29.0 o superiore.
Il modello di sicurezza di Bitcoin: perché la disclosure responsabile funziona
Il caso CVE-2024-52911 dimostra l’efficacia del processo di sicurezza coordinato adottato da Bitcoin Core. La vulnerabilità è rimasta privata per circa 18 mesi — dal novembre 2024 al maggio 2026 — dando agli operatori il tempo necessario per aggiornare i propri sistemi prima che le informazioni diventassero pubbliche. Il fatto che non si siano registrati exploit conosciuti in questo arco di tempo conferma che il processo ha funzionato.
Come sottolineato in una recente analisi sugli aggiornamenti di Bitcoin Core, la comunità degli sviluppatori adotta da anni un approccio rigoroso alla sicurezza, con revisioni peer-to-peer del codice e divulgazioni graduate. La responsabile disclosure di Fields e la risposta rapida di Wuille sono un esempio da manuale.
Conclusione
CVE-2024-52911 entra nella storia di Bitcoin come la prima vulnerabilità di tipo memory safety mai scoperta nel software principale della rete. Nonostante la gravità teorica — che avrebbe consentito crash remoti e potenzialmente esecuzione di codice — i costi economici dell’attacco lo rendevano impraticabile in condizioni reali. Il fix è disponibile da oltre un anno in Bitcoin Core 29.0, ma il 43% dei nodi non ha ancora aggiornato: un promemoria importante per chi gestisce infrastruttura critica sulla rete Bitcoin.
Resta aggiornato su tutte le notizie Bitcoin con la nostra app: Scarica l’app BitcoinLive24 per ricevere notifiche istantanee quando Bitcoin si muove.
Questo articolo non costituisce consulenza finanziaria. Le informazioni hanno scopo puramente informativo.
Domande Frequenti (FAQ)
Cos’è la CVE-2024-52911 di Bitcoin Core?
CVE-2024-52911 è una vulnerabilità di tipo use-after-free nel motore di validazione degli script di Bitcoin Core, presente nelle versioni 0.14.1-28.4. Avrebbe potuto consentire a miner malevoli di crashare nodi remoti o eseguire codice arbitrario, ma è stata risolta in Bitcoin Core 29.0 (aprile 2025).
I miei Bitcoin sono a rischio per questo bug?
No. La vulnerabilità riguarda esclusivamente chi gestisce un full node Bitcoin. Chi detiene BTC su exchange o wallet non era e non è esposto: i fondi non erano in pericolo in nessuno scenario di attacco.
Quanti nodi Bitcoin sono ancora vulnerabili?
Al momento della divulgazione pubblica (5 maggio 2026), circa il 43% dei nodi attivi sulla rete Bitcoin girava su versioni precedenti alla 29.0, risultando quindi tecnicamente vulnerabili alla CVE-2024-52911.
Come si aggiorna Bitcoin Core per risolvere il problema?
È sufficiente scaricare e installare Bitcoin Core 29.0 o qualsiasi versione successiva dal sito ufficiale bitcoincore.org. L’aggiornamento è gratuito e risolve completamente la vulnerabilità CVE-2024-52911.
