Key Takeaways
Bitcoin ağının birincil istemci yazılımı olan Bitcoin Core'daki yüksek önem dereceli bir güvenlik açığı, geliştiricilerin 6 Mayıs 2026 tarihli kamuya açık bildirimine göre, madencilerin yamalanmamış düğümleri çökertmesine olanak tanıyabilir. Tahminen ağ düğümlerinin yüzde 43'ü, bir yıldan uzun süre önce yamalanmış olan bu hataya maruz kalmaya devam ediyor.
Resmi duyuruya göre, CVE-2024-52911 etiketiyle tanımlanan güvenlik açığı, MIT Dijital Para Birimi Girişimi'nden Cory Fields tarafından keşfedilen bir "use-after-free" (serbest bırakıldıktan sonra kullan) bellek hatasıydı. Fields, sorunu 2 Kasım 2024'te özel olarak bildirdi ve geliştiricilerin, kötü niyetli kişiler durumu istismar etmeden önce sessizce bir düzeltme yayınlamasına olanak tanıdı.
Hata, 0.14.0'dan 28.x'e kadar tüm Bitcoin Core sürümlerini etkiliyor. Yeterli karma gücüne (hashpower) sahip bir madenci, özel olarak hazırlanmış geçersiz bir blok gönderirse hata tetiklenebilir ve savunmasız düğümlerin çökmesine neden olabilir. Kusur bir bellek hatası olduğu için, bildiride uzak kod yürütülmesinin (remote code execution) düşük bir ihtimal de olsa mümkün olduğu belirtiliyor. Düzeltme, Nisan 2025'te yayınlanan Bitcoin Core 29.0 sürümüne dahil edildi.
Başarılı bir saldırı, düğümlerin önemli bir kısmını çevrimdışı bırakabileceği için birincil risk ağ istikrarıdır. Saldırının yerleşik caydırıcısı ise maliyetidir: Bir madenci, geçersiz bir bloğu kazmak için önemli ölçüde iş kanıtı (proof-of-work) kaynağı harcamak zorunda kalacak ve herhangi bir blok ödülünden vazgeçecektir. Ancak, Clark Moody’nin panelindeki verilere göre düğümlerin kabaca yüzde 43'ü hala savunmasız yazılımı çalıştırıyor; bu durum, merkeziyetsiz bir ekosistemde güncellemeleri koordine etmenin devam eden zorluğunu vurguluyor.
CVE-2024-52911'in ele alınış biçimi, sorumlu bildirim (responsible disclosure) konusunda örnek bir vaka teşkil ediyor. Kasım 2024'teki özel raporun ardından, Bitcoin Core geliştiricisi Pieter Wuille sadece dört gün sonra gizli bir düzeltme gönderdi ve potansiyel saldırganlara güvenlik açığını belli etmemek için düzeltmeyi kasıtlı olarak yanlış etiketledi. Düzeltme Aralık 2024'te birleştirildi ve Nisan 2025'te kullanıma sunuldu. Geliştiriciler, etkilenen son yazılım sürümü olan 28.x'in resmi olarak kullanım ömrünü tamamlamasının ardından Mayıs 2026'ya kadar kamuya açık bildirimi beklediler.
X platformundaki bir paylaşımda, geliştirici Niklas Gögge, projenin yaklaşık iki yıllık kamuya açık güvenlik duyuruları arasında bunun "ilk bellek güvenliği sorunu" olduğunu belirterek, sorumlu bildirim süreci için Fields'a teşekkür etti. Hata, Bitcoin'in mutabakat (consensus) kurallarını etkilemedi veya herhangi bir zincir üstü değişiklik getirmedi.
Olay, ağın güvenliğini ve istikrarını sağlamak için düğüm operatörlerinin yazılımlarını en son sürüme güncel tutmalarının kritik önemini bir kez daha ortaya koyuyor.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
