Bitcoin Core v30.2 устраняет критическую уязвимость в обработке кошелька: пользователи должны обновиться немедленно

«В Bitcoin нет мелочей. Один байт может стоить миллиардов.»
— Адам Бэк, CEO Blockstream, автор Hashcash

В январе 2026 года разработчики Bitcoin Core выпустили экстренное обновление v30.2, устраняющее серьёзную уязвимость в модуле кошелька, затрагивающую все версии начиная с v30.0. Ошибка могла привести к непреднамеренной отправке средств на неконтролируемый адрес при выполнении определённых операций с аппаратными кошельками через интерфейс Bitcoin Core. Хотя активная эксплуатация пока не зафиксирована, команда настоятельно рекомендует всем пользователям, использующим встроенный кошелёк, обновиться до v30.2 как можно скорее.

🔍 Что именно произошло: баг в подписании транзакций

Уязвимость была обнаружена в логике взаимодействия Bitcoin Core с аппаратными устройствами (Ledger, Trezor и др.) при использовании функции «частичной подписи» (PSBT — Partially Signed Bitcoin Transaction). В версиях v30.0 и v30.1 при определённой последовательности действий (в частности, при повторном редактировании уже инициированной PSBT) программа могла неправильно сопоставить выходы транзакции, что приводило к генерации подписи для неправильного адреса получателя.

В результате пользователь, видя в интерфейсе корректный адрес, на самом деле подписывал транзакцию на **сгенерированный внутри процесса технический адрес**, не связанный ни с получателем, ни с отправителем. Такие средства становились необратимо потерянными — их никто не мог потратить, так как приватный ключ от этого адреса не существовал.

Важно: проблема **касается только тех, кто использует встроенный кошелёк Bitcoin Core вместе с аппаратными устройствами через PSBT**. Пользователи, работающие напрямую через Ledger Live, Sparrow Wallet или Electrum, не затронуты.

🕒 Хронология исправлений: от v30.0 до v30.2

• 15 декабря 2025 — выпуск Bitcoin Core v30.0, включающий переработанный интерфейс кошелька и поддержку Taproot Assets.
• 8 января 2026 — обнаружение бага независимым исследователем; сразу выпущена срочная версия v30.1 с частичным исправлением.
• 12 января 2026 — выявлены краевые случаи, которые v30.1 не закрывала; выпущена финальная версия v30.2 с полным патчем.

Команда Bitcoin Core опубликовала официальное предупреждение: «Если вы создавали или редактировали PSBT в v30.0 или v30.1, не транслируйте эти транзакции в сеть. Отмените их и создайте заново в v30.2.»

🛡️ Кто в группе риска?

Уязвимость затрагивает узкий, но важный круг пользователей:

• Те, кто использует Bitcoin Core как основной кошелёк.
• Работают с аппаратными устройствами через PSBT (например, для мультиподписи).
• Повторно редактировали транзакцию (изменили комиссию, добавили выходы) до подписания.

Пользователи, которые:

• Используют только импорт адресов (watch-only),
• Не работают с PSBT,
• Или используют сторонние кошельки с RPC-подключением к Core,

— находятся в безопасности.

✅ Что делать: пошаговая инструкция

1. Обновите до Bitcoin Core v30.2

Скачайте только с официальных источников:

• bitcoincore.org
• GitHub Releases

2. Проверьте недавние PSBT

Если вы создавали PSBT в v30.0/v30.1:

• Убедитесь, что адрес получателя в финальной транзакции совпадает с ожидаемым.
• Если сомневаетесь — не отправляйте. Создайте новую транзакцию в v30.2.

3. Рассмотрите переход на специализированные кошельки

Для повседневного использования аппаратных устройств лучше подходят:

• Sparrow Wallet — для продвинутых пользователей и мультиподписи.
• Electrum — для гибкости и скорости.
• Официальные приложения (Ledger Live, Trezor Suite) — для максимальной простоты.

🌐 Почему это важно в 2026 году?

Bitcoin Core остаётся «золотым стандартом» для полных узлов, но его кошелёк всё чаще используется не массовым ритейлом, а разработчиками, исследователями и институтами. Ошибка в v30.0 стала напоминанием: даже в самом проверенном ПО возможны регрессии при крупных рефакторингах.

Особенно критично, что баг появился в момент, когда институциональные игроки (через ETF) всё чаще запускают собственные ноды. Надёжность кода напрямую влияет на доверие к сети как финансовому ядру.

🔧 Уроки для экосистемы: безопасность — это процесс

Инцидент демонстрирует зрелость процессов Bitcoin:

• Баг был найден и исправлен до массовой эксплуатации.
• Выпущено **два патча за 4 дня** — что говорит о высокой реактивности команды.
• Сообщество получило чёткие, однозначные инструкции без паники.

Разработчики также анонсировали усиление тестирования PSBT-флоу, включая:

• Автоматизированные сценарии с аппаратными кошельками.
• Независимый аудит от OpenSats и Brink.
• Интеграцию с HWI (Hardware Wallet Interface) на более глубоком уровне.

✅ Заключение: доверяй, но проверяй — особенно в v30.x

Ошибка в Bitcoin Core v30.0 — не провал, а пример того, как работает зрелая open-source экосистема: уязвимость обнаружена, исправлена, пользователи предупреждены. Но она напоминает: никогда не стоит слепо доверять даже официальному ПО.

Как сказал Адам Бэк: «Bitcoin защищён не кодом. Он защищён внимательностью тех, кто его использует.» И в этом случае — внимание начинается с обновления до v30.2.