-
El fallo estuvo presente desde Bitcoin Core 0.14.0, lanzado en 2017.
-
La corrección se integró de forma encubierta en el PR #31112 de GitHub.
Bitcoin Core divulgó públicamente este 5 de mayo una vulnerabilidad de severidad alta que afectó a su software entre las versiones 0.14.0 y 28, un rango que abarca aproximadamente nueve años de desarrollo.
Según el aviso oficial, el fallo permitía que un atacante capaz de minar un bloque con suficiente prueba de trabajo pudiera forzar el cierre o apagado de nodos de terceros al explotar un error de gestión de memoria.
De acuerdo con Bitcoin Core, la vulnerabilidad residía en el intérprete de scripts responsable de validar transacciones. La organización señala que, durante la validación de bloques inválidos especialmente construidos, un hilo de procesamiento en segundo plano podía acceder a datos ya eliminados de la memoria —un error conocido en programación como use-after-free (use después libere)—, lo que causaba el colapso del nodo afectado.
Bitcoin Core es el software de referencia que implementa el protocolo de la red Bitcoin. Su desarrollo es mantenido por un grupo de contribuidores de código abierto y representa la base técnica sobre la que operan la mayoría de los nodos completos de la red, por lo que las vulnerabilidades en este software tienen implicaciones directas sobre la estabilidad e integridad de la infraestructura de Bitcoin.
El investigador Cory Fields, del MIT Digital Currency Initiative, reportó el fallo de forma privada el 2 de noviembre de 2024. Según la línea de tiempo publicada por Bitcoin Core, el desarrollador Pieter Wuille incorporó una corrección de forma encubierta en un pull request ya abierto días después, sin revelar públicamente su propósito. La versión corregida, Bitcoin Core 29.0, fue lanzada el 12 de abril de 2025. Para algunos, la modificación ocurrió de forma «oculta».
La corrección y su divulgación
Bitcoin Core indica que la divulgación pública se postergó hasta que la última versión vulnerable —la rama 28.x— llegara a su fin de vida oficial, lo que ocurrió el 19 de abril de 2026. Esta práctica, conocida como divulgación responsable, busca garantizar que los usuarios hayan tenido tiempo suficiente para actualizar antes de que el detalle técnico del fallo sea público.
La organización precisa que, si bien la naturaleza del error hacía teóricamente posible la ejecución remota de código en los nodos afectados, las restricciones inherentes al formato de los bloques hacían ese escenario poco probable. El impacto más realista, según Bitcoin Core, era el cierre forzado del nodo.
Bitcoin Core subraya que los operadores de nodos que migraron a la versión 29.0 o posterior en el momento de su lanzamiento no estuvieron expuestos durante la ventana de divulgación pública. La organización no reporta evidencia de que la vulnerabilidad haya sido explotada antes de su corrección.
