Nutzer des Bitcoin-Referenz-Clients Core sollten unverzüglich auf die am Dienstag bereitgestellte Version 0.16.3 updaten. Mit der neuen Version wird ein Bug ausgebügelt, bei dem eine bestimmte Art von Block zum Absturz der Software geführt hätte. Konkret wäre ein Core-Node bei dem Versuch in die Knie gegangen, einen Block-Kandidaten zu validieren, der einen Double Spend enthält. Unter Double Spend versteht man den illegitimen Versuch, die gleichen Coins mehrfach auszugeben.

Theoretisch hätten Angreifer über die Lücke DoS-Angriffe auf das Bitcoin-Netzwerk ausführen können, da die überragende Mehrheit aller vollen Netzwerk-Knoten über die anfällige Core-Software betrieben wird. Allerdings hätten sie mit ihrem eigentlich ungültigen Block-Kandidaten zunächst nur ihre unmittelbaren Peers im Netzwerk erreicht. Der Sicherheitsexperte Emin Gün Sirer geht dennoch davon aus, dass man nur für den Preis einer vergebenen Belohnung für den präparierten Block das ganze Netzwerk auf den Boden hätte schicken können. In der Praxis sind aber keine Versuche bekannt geworden, die Lücke auszunutzen.

Der Bug (CVE-2018-17144) konnte sich in Version 0.14 vom März 2017 einschleichen. Wie das Bitcoin-Blog schreibt, sollte eine damals entfernte Prüfung von Transaktionsinputs eigentlich nur Performance-Vorteile schaffen, riss dabei aber gleichzeitig die Lücke auf. Weitere Kryptowährungen wie etwa Litecoin und Bitcoin Gold, deren Referenz-Client auf Code von Core aufsetzt, sind wohl ebenfalls betroffen. In der zerstrittenen Community des inzwischen mehrfach geforkten Bitcoin (Bitcoin Cash, Bitcoin Gold etc.) führte der Bug zu heftigen Debatten über die Code-Qualität des Core-Clients sowie die Kompetenz der Entwickler. (axk)