Аудит безопасности Bitcoin Core
Bitcoin Core, широко используемая программная реализация протокола Bitcoin, успешно прошла свой первый публичный аудит безопасности, проведенный независимой стороной. В ходе оценки не было выявлено уязвимостей с высоким уровнем воздействия, а также были внедрены новые инструменты тестирования, которые усиливают долгосрочную устойчивость сети.
Детали аудита
Аудит был осуществлён компанией по кибербезопасности Quarkslab, финансируемой организацией Brink, и координировался Фондом улучшения технологий с открытым исходным кодом (OSTIF). Это событие стало важной вехой в обеспечении безопасности Bitcoin, предоставляя независимую проверку программного обеспечения, которое защищает триллионы долларов.
История и развитие Bitcoin Core
Bitcoin Core значительно развивался с 2009 года, насчитывая более 46 000 коммитов и вкладов от десятков разработчиков. Несмотря на свою зрелость, проект никогда ранее не проходил полного публичного аудита от внешней компании, что и стало целью данного обзора.
Методы аудита
Аудит, проведённый с мая по сентябрь, в основном сосредоточился на уровне P2P-сетей, одной из самых уязвимых точек атаки Bitcoin. Затем Quarkslab расширил свой анализ на логику mempool, управление цепочкой, валидацию консенсуса и пути обработки транзакций.
Команда использовала комбинацию ручного обзора кода, динамического анализа и современных методов фуззинга, некоторые из которых были впервые внедрены в кодовую базу Bitcoin Core. Результаты оказались обнадеживающими: аудиторы выявили две проблемы низкой степени серьезности и 13 информационных рекомендаций, ни одна из которых не оказала влияния на безопасность по внутренним классификациям уязвимостей Bitcoin Core.
Quarkslab отметила, что архитектура и качество кода Bitcoin Core демонстрируют «выдающуюся работу».
Будущее тестирования
Кроме того, современные подходы к фуззингу, такие как продолжающаяся инициатива Brink Fuzzamoto, могут выявить ещё более глубокие крайние случаи в будущих циклах тестирования. Полный отчет и сопутствующие артефакты доступны в публичных репозиториях Quarkslab, что знаменует новую эру прозрачности для самого критического программного обеспечения Bitcoin.
Проверенные части Bitcoin Core
Какие части Bitcoin Core были проверены? В основном уровень P2P, а также логика mempool, консенсуса и управления цепочкой.
