Audit di Sicurezza di Bitcoin Core
Bitcoin Core, l’implementazione software ampiamente utilizzata del protocollo Bitcoin, ha recentemente completato il suo primo audit di sicurezza pubblico condotto da terzi. La valutazione non ha rilevato vulnerabilità ad alto impatto e ha introdotto nuovi strumenti di test che rafforzano la resilienza a lungo termine della rete. Questo audit, realizzato dalla società di cybersecurity Quarkslab, è stato finanziato da Brink e coordinato dall’Open Source Technology Improvement Fund (OSTIF).
Importanza dell’Audit
Questo impegno rappresenta una pietra miliare importante per il ciclo di vita della sicurezza di Bitcoin, fornendo un esame indipendente del software che protegge trilioni di dollari di valore. Bitcoin Core è evoluto significativamente dal 2009, con oltre 46.000 commit e contributi da decine di sviluppatori. Nonostante la sua maturità, il progetto non aveva mai subito un audit pubblico completo da parte di un’azienda esterna, un’assenza che questa revisione si propone di colmare.
Dettagli dell’Audit
Condotto tra maggio e settembre, l’audit si è concentrato principalmente sul layer di rete peer-to-peer, una delle superfici di attacco più esposte di Bitcoin. Da lì, Quarkslab ha esteso la sua analisi alla logica del mempool, alla gestione della catena, alla validazione del consenso e ai percorsi di gestione delle transazioni. Il team ha utilizzato una combinazione di revisione manuale del codice, analisi dinamica e tecniche avanzate di fuzzing, alcune delle quali sono state recentemente introdotte nel codice di Bitcoin Core.
Risultati e Conclusioni
I risultati sono stati rassicuranti: gli auditor hanno identificato due problemi a bassa gravità e 13 raccomandazioni informative, nessuna delle quali ha comportato impatti sulla sicurezza secondo le classificazioni interne delle vulnerabilità di Bitcoin Core. Quarkslab ha notato che l’architettura e la qualità del codice di Bitcoin Core dimostrano “un lavoro eccezionale“. Inoltre, approcci moderni di fuzzing, come l’iniziativa Fuzzamoto di Brink, potrebbero scoprire casi limite ancora più complessi nei futuri cicli di test.
Trasparenza e Accessibilità
Il rapporto completo e gli artefatti di supporto sono disponibili pubblicamente nei repository di Quarkslab, segnando una nuova era di trasparenza per il software più critico di Bitcoin. Le parti di Bitcoin Core esaminate includono principalmente il layer P2P, oltre alla logica del mempool, del consenso e della gestione della catena.
