Il 5 maggio 2026, il team di Bitcoin Core ha divulgato pubblicamente CVE-2024-52911, una vulnerabilità di sicurezza ad alta severità che ha interessato tutte le versioni di Bitcoin Core dalla 0.14.1 alla 28.4. Il bug, classificato come use-after-free nel motore di validazione degli script, permetteva potenzialmente a un miner di crashare nodi remoti e persino eseguire codice arbitrario su macchine di terzi. Scoperto da Cory Fields del MIT Digital Currency Initiative (DCI), il problema è stato corretto silenziosamente in Bitcoin Core 29.0 (aprile 2025) — ma secondo le stime più diffuse, il 43% dei nodi attivi sulla rete Bitcoin opera ancora su versioni vulnerabili.
Cos’è CVE-2024-52911 e Come Funzionava l’Attacco
CVE-2024-52911 è una vulnerabilità use-after-free nel motore di validazione degli script di Bitcoin Core. Durante la validazione di un blocco, il software pre-calcola e memorizza in cache i dati delle transazioni, poi li invia a thread in background per la validazione parallela degli script. Il bug si manifestava quando un thread continuava a leggere dati dalla cache dopo che quella memoria era già stata liberata da un altro processo (CScriptCheck).
Secondo il security advisory ufficiale di Bitcoin Core, uno scenario di attacco concreto si sviluppava così: un miner con sufficiente hashrate produceva un blocco appositamente costruito (specially crafted block) con proof-of-work valida. Quel blocco, una volta propagato alla rete, poteva indurre i nodi vulnerabili a leggere memoria già liberata — causando un crash del processo o, nel caso peggiore, un’esecuzione di codice remoto. Niklas Gögge, sviluppatore di Bitcoin Core, ha confermato su X che si tratta del primo memory safety issue mai divulgato nella storia delle advisory di sicurezza di Bitcoin Core, pubblicate da circa due anni.
Perché il Bug Non È Stato Sfruttato: il Costo Proibitivo dell’Attacco
L’attacco CVE-2024-52911 richiedeva hashpower non remunerato: nessun blocco appositamente costruito per sfruttare il bug poteva generare ricompense coinbase, rendendo il vettore di attacco economicamente irrazionale per qualsiasi miner. Per sfruttarlo, un miner avrebbe dovuto dirigere una quantità significativa di hashpower verso il mining di blocchi non validi, sostenendo costi energetici elevati senza alcun ritorno diretto.
Bitcoin Core ha inoltre sottolineato che i vincoli sul formato dei dati dei blocchi hanno reso storicamente improbabile che questo attacco si verificasse in maniera significativa. Il risultato pratico è che il bug, pur essendo tecnicamente sfruttabile, è rimasto oscuro e — con ogni probabilità — mai utilizzato in modo malevolo da attori di rete.
Timeline della Scoperta e della Patch
| Data | Evento |
|---|---|
| Novembre 2024 | Cory Fields (MIT DCI) scopre e segnala privatamente il bug |
| Novembre 2024 (4 giorni dopo) | Pieter Wuille propone la patch come PR 31112 |
| Dicembre 2024 | Consensus tecnico e merge in produzione |
| Aprile 2025 | Bitcoin Core 29.0 rilasciato con la patch integrata |
| 5 maggio 2026 | Divulgazione pubblica ufficiale del CVE-2024-52911 |
La responsible disclosure ha seguito un processo deliberatamente discreto: la PR 31112 di Fields e Wuille era stata intitolata “Improve parallel script validation error debug logging”, un titolo tecnico neutro che non ha sollevato alcun campanello d’allarme pubblico. Questo approccio — noto come obfuscated fix — è pratica standard nella sicurezza del software open source per proteggere gli utenti prima che la maggioranza aggiorni.
Il 43% dei Nodi È Ancora Vulnerabile: Cosa Fare
Circa il 43% dei nodi Bitcoin full node attivi sulla rete opera ancora su versioni precedenti alla v29 — e rimane quindi esposto a CVE-2024-52911, secondo le stime pubblicate da Protos e diffuse nella community tecnica. Poiché l’aggiornamento di un full node Bitcoin è volontario e non automatico, una minoranza consistente della rete è rimasta indietro rispetto alla patch.
La soluzione è semplice: aggiornare Bitcoin Core alla versione 29.0 o superiore. La versione 29.0 è stata rilasciata ad aprile 2025 e include la correzione completa del bug. Per chi gestisce infrastrutture critiche — exchange, payment processor, mining pool — l’aggiornamento immediato è fortemente raccomandato.
Cosa Significa per la Sicurezza di Bitcoin
CVE-2024-52911 non minaccia il consenso della rete né i fondi degli utenti. La vulnerabilità riguarda esclusivamente i nodi che validano le transazioni: un attacco riuscito avrebbe potuto causare un crash del nodo o, teoricamente, un’esecuzione di codice remoto sulla macchina che ospita il nodo. I Bitcoin custoditi in wallet non sono a rischio diretto.
Tuttavia, la notizia sottolinea un tema ricorrente nell’ecosistema Bitcoin: la necessità di mantenere aggiornato il software. Un nodo non aggiornato non solo è esposto a vulnerabilità note, ma potrebbe anche applicare regole di consenso obsolete. La redazione di BitcoinLive24 raccomanda a tutti gli operatori di infrastrutture di verificare immediatamente la versione installata e procedere all’aggiornamento.
Il fatto che questa sia la prima memory safety issue mai divulgata nelle advisory di Bitcoin Core è un segnale incoraggiante: la base di codice di Bitcoin Core, sviluppata e revisionata da decine di esperti in tutto il mondo, mantiene standard di sicurezza molto elevati. Per approfondire altri aspetti della sicurezza Bitcoin, leggi il nostro articolo su BIP-361 e il rischio quantum e la nostra analisi su quantum computing e la curva ellittica.
FAQ su CVE-2024-52911 e la Sicurezza di Bitcoin Core
CVE-2024-52911 ha messo a rischio i miei Bitcoin?
No. CVE-2024-52911 è una vulnerabilità che colpisce i nodi full node di Bitcoin Core, non i wallet degli utenti. I tuoi Bitcoin sono al sicuro se conservati in un wallet non connesso direttamente alla rete come nodo. Solo chi gestisce un full node con versioni precedenti alla 29.0 è esposto.
Quanti nodi Bitcoin sono ancora vulnerabili?
Circa il 43% dei nodi Bitcoin full node attivi sulla rete opera ancora su versioni precedenti a Bitcoin Core 29.0, risultando quindi potenzialmente esposti a CVE-2024-52911, secondo le stime disponibili al 5 maggio 2026.
Come aggiorno il mio nodo Bitcoin Core?
Visita il sito ufficiale bitcoincore.org e scarica l’ultima versione disponibile (29.0 o superiore). Prima di aggiornare, effettua sempre un backup del file wallet.dat e verifica la firma GPG del pacchetto.
Cos’è un attacco use-after-free?
Un attacco use-after-free sfrutta un errore di gestione della memoria nel software: il programma continua a usare un’area di memoria dopo che questa è stata liberata (freed). Questo stato anomalo può causare crash del processo o, in casi più gravi, permettere a un attaccante di iniettare ed eseguire codice arbitrario nella macchina vittima.
Il bug è mai stato sfruttato nella pratica?
No. Secondo Bitcoin Core non esistono prove di sfruttamento attivo di CVE-2024-52911. Il vettore di attacco richiedeva un costo in hashpower proibitivo — i blocchi costruiti per sfruttare il bug non potevano generare ricompense coinbase, rendendo l’attacco economicamente irrazionale per un miner.
Seguici su BitcoinLive24 per ricevere notifiche push istantanee sulle notizie di sicurezza Bitcoin e sui movimenti del mercato. Scarica l’app.
Questo articolo ha scopo informativo e non costituisce consulenza finanziaria o di sicurezza informatica professionale.
