CVE-2024-38365

Versões do btcd de 0.10 a 0.24

O problema decorre da implementação incorreta da funcionalidade “FindAndDelete()” no cliente Bitcoin btcd, levando a discrepâncias na validação dos blocos de Bitcoin. Isso pode causar uma divisão da cadeia ou ataques de Negação de Serviço (DoS). Um invasor pode explorar essa vulnerabilidade criando uma transação Bitcoin padrão que apresente comportamentos diferentes nas funções ‘FindAndDelete()’ e ‘removeOpcodeByData()’. A função removeOpcodeByData remove quaisquer envios de dados de um script que contenham dados especificados, enquanto FindAndDelete remove apenas correspondências exatas. Essa diferença de comportamento pode ser explorada remotamente sem a necessidade de poder de hash, pois pode ser acionada por uma transação Bitcoin padrão retransmitida pela rede P2P.

Para resolver o problema, atualize para a versão v0.24.2 ou posterior do btcd. Como solução temporária, considere restringir o uso da função removeOpcodeByData até que um patch seja aplicado. Evite usar transações que possam acionar a diferença de comportamento entre FindAndDelete e removeOpcodeByData até que o problema seja resolvido.