Bitcoin: Niezależny audyt chwali solidność Bitcoin Core

Audyt Bitcoin Core, którego wszyscy się domagali, w końcu się odbył i nie wykazał prawie żadnych zastrzeżeń. Dla oprogramowania zabezpieczającego sieć wartą setki miliardów, to nie jest drobny szczegół. To silny sygnał zarówno dla cypherpunków, jak i instytucji akumulujących BTC za kulisami.

Audyt Bitcoin Core zakończony z wyróżnieniem

Przez 104 dni Quarkslab przeprowadzał audyt Bitcoin Core dla OSTIF, finansowany przez Brink: to pierwszy w historii publiczny audyt tego typu. Celem było sprawdzenie, czy oprogramowanie obsługujące większość węzłów BTC rzeczywiście zasługuje na zaufanie, którym darzono je przez lata.

Zakres audytu nie był tylko kosmetyczny. Audytorzy skupili się na najbardziej wrażliwych częściach: warstwie peer-to-peer (P2P), logice walidacji bloków, zarządzaniu stanem łańcucha, scenariuszach reorganizacji. Krótko mówiąc, na wszystkim, co w przypadku subtelnego błędu mogłoby zdestabilizować całą sieć.

Rezultat: brak krytycznych, poważnych, a nawet średnich podatności. Wykryto jedynie dwa drobne problemy, a niektóre zalecenia dotyczyły narzędzi fuzzingowych i poprawy pokrycia testami. Te kwestie nie wpływają na konsensus, odporność na ataki DoS ani walidację transakcji. Przy ponad 200 000 liniach kodu C++ i 1 200 testach, audytorzy chwalą bazę kodu jako jedną z najbardziej dojrzałych.

P2P, mempool, reorganizacje: rdzeń sieci pod lupą

Audyt Bitcoin Core skupił się na warstwie P2P, przez którą przechodzą bloki, transakcje i wykrywanie peerów. Każdy węzeł może obsłużyć około 125 połączeń, zamieniając tę sieć w gigantyczną pajęczynę propagacji. Audytorzy badali ścieżki obejścia, próbując ominąć walidację i blokady złośliwych peerów w Bitcoin Core. Nie znaleziono żadnych możliwych do wykorzystania luk.

Następnie skupiono się na mempoolu, przejściach stanów łańcucha i zarządzaniu reorganizacjami. Te krytyczne obszary mogą powodować rozbieżności łańcucha, tymczasowe desynchronizacje lub otwierać drogę do zaawansowanych ataków. Również tutaj audyt nie wykazał żadnych praktycznych wektorów ataku, które mogłyby zostać wykorzystane w rzeczywistej sieci.

Przede wszystkim Quarkslab nie ograniczył się do odhaczania punktów kontrolnych. Zespół zalecił rozszerzenie fuzzingu o nowe scenariusze, zwłaszcza dotyczące połączeń bloków i reorganizacji. Już teraz przekłada się to na nowe narzędzia fuzzingowe, lepsze zarządzanie systemem plików w celu przyspieszenia testów oraz narzędzia do wykrywania regresji wydajności w czasie. Krótko mówiąc, audyt nie tylko potwierdza solidność dzisiaj, ale wzmacnia zdolność Bitcoin Core do pozostania odpornym w przyszłości.

Podczas gdy audyt Bitcoin Core zakończył się bez wykrycia błędów, w społeczności narastała kolejna burza. W październiku aktualizacja Bitcoin Core v30, opisywana przez niektórych jako zmiana zagrażająca jedności sieci, ponownie wznieciła napięcia między zwolennikami Bitcoin Core a Bitcoin Knots.