De Bitcoin Core-software voor het Bitcoin-netwerk had een jaar lang een ernstige double-spending-kwetsbaarheid, die in theorie zelfs tot een blockchain-fork van getroffen nodes en bugvrije nodes had kunnen leiden. De kwetsbaarheid is niet misbruikt.

De kwetsbaarheid, met aanduiding CVE-2018-17144, is vorige week verholpen met de release van Bitcoin Core 0.16.3 en 0.17.0rc4. Aanvankelijk kregen de ontwikkelaars een melding over een denial-of-service-bug, maar bij nadere inspectie kwam een inflationkwetsbaarheid aan het licht, zo blijkt uit de full disclosure van Bitcoin Core.

Optimalisaties in Bitcoin Core 0.14, die vorig jaar maart verscheen, hadden als onbedoeld bij-effect dat nodes konden crashen bij de verwerking van blokken met transacties die coins meerdere keren probeerden te besteden. Met de komst van Bitcoin Core 0.15.0, iets meer dan een jaar geleden, werden de problemen groter. De aanpassingen zorgden er namelijk voor dat nodes de double-spend-transacties in sommige gevallen accepteerden.

Bitcoin Magazine beschrijft dat een kwaadwillende in het ergste geval de hoeveelheid valuta kon vergroten door zijn eigen coins te kopiëren. Nodes met de kwetsbare Bitcoin Core-versies zouden deze coins accepteren, waarmee theoretisch een fork kon ontstaan. In de praktijk zou dit onwaarschijnlijk zijn, omdat de oudere, niet getroffen nodes waarschijnlijk een te lage hashrate zouden hebben.

Inmiddels zou meer dan helft van de hashrate een upgrade hebben gekregen naar Bitcoin Core 0.16.3, waarmee een aanvaller niet meer met succes de valide blokketen kan verdringen. Bitcoin Core is de naam van de softwareclient voor het Bitcoin-netwerk.