Bitcoin Core успешно прошел свой первый сторонний аудит безопасности, результаты которого подтверждают, что программное обеспечение, обеспечивающее безопасность крупнейшей в мире децентрализованной сети, отличается высокой зрелостью.
Аудит, проведенный французской компанией Quarkslab по заказу OSTIF от имени Brink, охватил наиболее критически важные компоненты проекта, в частности, пиринговый (P2P) уровень и логику проверки блоков в течение 104 дней с мая по сентябрь.
Согласно отчету, кодовая база Bitcoin Core является "наиболее зрелой и хорошо протестированной", отметили аудиторы, несмотря на ее размер, который включает более 200 000 строк кода C++ и более 1200 тестов, уже находящихся в наличии.
Команда не обнаружила уязвимостей высокой или средней степени серьезности, выявив только два вопроса низкой степени серьезности и ряд предложений по улучшению, в основном связанных с fuzzing harness и тестовым покрытием. Ни одна из обнаруженных проблем не повлияла на консенсус, устойчивость к атакам типа "отказ в обслуживании" или проверку транзакций.
Аудиторы не обнаружили эксплуатируемых уязвимостей
В ходе аудита особое внимание уделялось пиринговому сетевому уровню Bitcoin, компоненту, ответственному за передачу блоков, транзакций и обнаружение пиров через приблизительно 125 соединений на узел. Аудиторы не зафиксировали случаев, когда бы вредоносные данные могли обойти проверку или механизм блокировки, предназначенный для изоляции неисправных пиров.
Команда также изучила логику mempool, переходы состояния цепочки и обработку реорганизации, все области, где незначительные ошибки могут привести к широкомасштабным сбоям в сети. В этих областях также не было выявлено эксплуатируемых путей.
"Не было выявлено существенных проблем с безопасностью. Большинство рекомендаций направлены на совершенствование существующих fuzzing harness для дальнейшего повышения их эффективности и охвата", - заключено в отчете.
Дискуссия между Bitcoin Core и Knots
Аудит происходит на фоне недавнего спора между сторонниками Bitcoin Core и Bitcoin Knots. Многомесячная дискуссия, вызванная обновлением Bitcoin Core v30, сосредоточена на том, следует ли разрешать нефинансовые данные в блокчейне, при этом критики предупреждают, что изменения могут "открыть шлюзы" для спама.
Сторонники Knots утверждают, что фильтрация таких данных необходима для предотвращения внедрения незаконного или неэтичного контента в реестр Bitcoin. Разработчики Bitcoin Core, однако, утверждают, что наложение ограничений нанесет вред сплоченности сети, запутает пользователей и противоречит основополагающим принципам открытости и нейтральности технологии.
По словам главы отдела исследований Galaxy Digital, Alex Thorn, большинство институциональных инвесторов в Bitcoin (BTC), по-видимому, не обеспокоены этим спором. Основываясь на опросе 25 институциональных клиентов, проведенном Thorn, 46% не знали о споре, 36% сказали, что им все равно, а остальные 18% поддержали Bitcoin Core.
