В клиенте-кошельке Bitcoin Core присутствовала такая уязвимость, которая могла позволить злоумышленникам украсть средства, отложить транзакции или разветвить сеть на конфликтующие версии, если бы она не была незаметно исправлена два года назад.
Уязвимость обнаружил в июне 2018 года Брейдон Фуллер, инженер крипто-магазина Purse. Сейчас он и Джавед Хан, основной разработчик протокола Handshake, опубликовали статью с описанием уязвимости.
Ошибке был присвоен уровень серьезности 7,8 по шкале от 1 до 10, что считается «высоким» (уровень 9 или выше считается «критическим»). Она была связана с тем, что удаленные узлы не могли очищать недействительные транзакции из своей памяти. Невозможность удалять транзакции могла привести к тому, что злоумышленник намеренно бы переполнил узел устаревшими данными, что можно назвать «неконтролируемым потреблением ресурсов», и в конечном итоге это привело бы к остановке узла.
Уязвимость затрагивала работу платежной системы Lightning Network. Согласно документу, на тот момент были подвержены атаке около 50% узлов. Ошибка присутствовала в версиях Bitcoin Core 0.16.0 и 0.16.1, и была исправлена разработчиком Мэттом Коралло. Более ранние версии Bitcoin Core не пострадали.
Хан и Фуллер написали, что не было обнаружено никаких попыток воспользоваться ошибкой. По словам Фуллера, уязвимость не могла быть раскрыта публично более двух лет, поскольку операторам узлов потребовалось больше времени, чем ожидалось.