Kryptolehti.fi Oppaat
Ladataan markkinadataa…
Bitcoin Core 31.1 korjasi yksityisyysvuodon, ei kriittistä haavoittuvuutta

Bitcoin Core 31.1 korjasi yksityisyysvuodon, ei kriittistä haavoittuvuutta

9. heinäkuuta 2026 klo 12.27 Markkinat Lasse Braden
Lue tiivistelmä

Otsikoissa kiersi kriittinen haavoittuvuus ja jopa väärä versionumero, mutta todellisuus on maltillisempi. Bitcoin Core 31.1 paikkaa kapean IP-vuodon, joka koski vain harvaa yksityistä lähetystä käyttänyttä solmua.

Otsikot lupasivat kriittistä haavoittuvuutta ja versiota "3.11". Kumpikaan ei pidä paikkaansa.

Bitcoin Coren ylläpitopäivitys 31.1 julkaistiin 8. heinäkuuta, ja se korjaa yksityisyysvuodon, ei etähyökkäykselle altista aukkoa. Julkaisunhoitajana toimi Michael Ford, verkossa nimimerkillä fanquake tunnettu kehittäjä.

Numero "3.11" on väärin luettu 31.1. Bitcoin Core numeroi versionsa vanhasta 0.x-sarjasta 22.0:n kautta nykyiseen 31-sarjaan, joten mitään kolmatta pääversiota ei ole olemassa.

Mistä vuodossa oikeasti on kyse? Korjaus koskee -privatebroadcast-ominaisuutta, joka tuli mukaan vasta edellisessä versiossa 31.0. Ominaisuuden lupaus oli, ettei transaktion lähettäjän IP-osoite paljastu vastaanottavalle vertaiselle.

-privatebroadcast ja BIP324 v2 -yhteys

Yksityinen lähetys reitittää oman transaktion verkkoon niin, etteivät muut solmut näe, keneltä se on lähtöisin. BIP324 v2 on salattu yhteystapa solmujen välillä. Jos oikea IP vuotaa, vastaanottaja voi yhdistää transaktion sen lähettäjään.

Vuoto syntyi kättelyn epäonnistuessa. Kun -privatebroadcast valitsi vertaisen, joka mainosti BIP324 v2 -yhteyttä, salattu liikenne oli tarkoitus reitittää Torin kautta. Salaus ja Tor-reititys olivat juuri ne kaksi suojaa, joiden piti estää lähettäjän tunnistaminen.

Jos v2-kättely epäonnistui, solmu yritti uudelleen vanhalla v1-yhteydellä suoraan selkoverkossa. Näin lähettäjän todellinen IP paljastui sille vertaiselle, jolle transaktio meni. Tämä rikkoi version 31.0 lupauksen.

Kuinka montaa tämä koskee? Harvaa.

Vuoto laukeaa vain, jos -privatebroadcast on päällä ja lähetys tehdään sendrawtransaction-RPC:llä. Tavalliset lompakon toiminnot, kuten kolikoiden lähetys suoraan lompakosta, eivät ole alttiita, ja altistus jää kapeaksi.

Kyse ei ole etäkoodinajosta eikä solmun kaatamisesta. Vika on passiivinen vuoto sille vertaiselle, jolle transaktio muutenkin lähetetään. Aktiivista hyväksikäyttöä ei ole havaittu ainakaan vielä, eikä vialle ole annettu CVE-numeroa tai virallista vakavuusluokitusta.

Sana "kriittinen" ei tullut Bitcoin Corelta. Se esiintyi vain uutisaggregaattori U.Todayn otsikossa, ja esitystapa oli selvästi liioiteltu. Projektin oma kieli on maltillisempaa.

– Vika voi paljastaa lähettäjän IP-osoitteen, Bitcoin Coren julkaisutiedoissa todetaan.

Vuodon löysi Bitcoin-kehittäjä Eugene Siegel, joka julkisti sen 6. kesäkuuta. Korjaus tuli reilua kuukautta myöhemmin versiossa 31.1.

Ennen päivitystä vuodon voi torjua kolmella tavalla. Sen saa estettyä ottamalla -privatebroadcast pois päältä, kytkemällä -v2transport nollaan tai reitittämällä liikenteen Torin kautta.

Jokainen keino sulkee saman aukon eri kohdasta. Ilman -privatebroadcastia haavoittuva koodipolku jää kokonaan käyttämättä, ja Tor-reititys piilottaa lähettäjän IP-osoitteen silloinkin, kun v2-kättely putoaa takaisin vanhaan v1-yhteyteen. Varmin ratkaisu on kuitenkin päivittää suoraan versioon 31.1, joka poistaa vian kokonaan.

Päivitys korjaa muutakin. Mukana on parannus LevelDB-tietokannan chainstate-levylukuun, lisätarkistus lompakon BDB-migraatioon ja MuSig2-validoinnin kovennus.

Yhtä sekaannusta kannattaa varoa. Vanhempi CVE-2024-52911 oli aito korkean vakavuuden etäkaatumisvika ennen versiota 29.0. Se on eri ja vanhempi asia, eikä sillä ole tekemistä tämän yksityisyyskorjauksen kanssa.

Muille kuin yksityistä lähetystä käyttäneille 31.1 on tavallinen ylläpitopäivitys, jonka voi asentaa kiireettä.

LB
Lasse Braden

Päätoimittaja

Kryptolehti.fi:n päätoimittaja ja kryptovaluutta-analyytikko.

Lisää Kryptolehti suosikkilähteeksi Googlessa

Vaatii Google-tilille kirjautumisen.

Lue myös