Bitcoin Core -turvallisuusauditointi
Bitcoin Core on läpäissyt ensimmäisen kolmannen osapuolen turvallisuusauditoinnin, jonka tulokset vahvistavat, että ohjelmisto, joka suojaa maailman suurinta hajautettua verkkoa, on erittäin kypsä. Ranskalaisen turvallisuusyrityksen Quarkslabin suorittama arviointi, jonka OSTIF tilasi Brinkin puolesta, tarkasteli projektin herkimmät osat, erityisesti vertaisverkko (P2P) -kerrosta ja lohkojen vahvistuslogiikkaa, 104 päivän aikana toukokuusta syyskuuhun.
Raportin mukaan Bitcoin Coren koodipohja on ”kypsin ja parhaiten testattu”, arvioivat auditoijat, huolimatta sen koosta, joka sisältää yli 200 000 riviä C++:aa ja yli 1 200 jo olemassa olevaa testiä.
Tiimi ei löytänyt korkeita tai keskitasoisia haavoittuvuuksia, vaan tunnisti vain kaksi matalan tason ongelmaa ja joukon parannusehdotuksia, jotka liittyivät pääasiassa fuzzing-harjoituksiin ja testikattavuuteen. Mikään löydöksistä ei vaikuttanut konsensukseen, palvelunestohyökkäyksen kestävyyskykyyn tai transaktioiden vahvistamiseen. Arvioijat eivät löytäneet hyödynnettäviä bugeja.
Auditointi painotti voimakkaasti Bitcoinin P2P-verkko-kerrosta, joka on vastuussa lohkojen, transaktioiden ja vertaisryhmien löytämisestä noin 125 yhteyden kautta solmua kohti. Arvioijat raportoivat, ettei ollut tapauksia, joissa haitalliset tiedot voisivat ohittaa vahvistuksen tai kieltojärjestelmän, joka on suunniteltu eristämään huonosti käyttäytyvät vertaisryhmät.
Tiimi tarkasteli myös mempool-logiikkaa, ketjun tilasiirtymiä ja uudelleenjärjestelyjen käsittelyä, kaikki alueita, joissa hienovaraiset bugit voisivat aiheuttaa verkon laajuisia häiriöitä. Näillä alueilla ei myöskään tunnistettu hyödynnettäviä reittejä.
”Merkittäviä turvallisuusongelmia ei havaittu. Suurin osa suosituksista keskittyy olemassa olevien fuzzing-harjoitusten hienosäätämiseen niiden tehokkuuden ja kattavuuden parantamiseksi,” raportti päätti.
Bitcoin Core vs. Knots -keskustelu
Auditointi tulee äskettäin käynnissä olevan kiistan keskelle Bitcoin Coren ja Bitcoin Knottsin kannattajien välillä. Kuukausia kestänyt keskustelu, jonka laukaisi Bitcoin Coren v30-päivitys, keskittyy siihen, pitäisikö ei-rahoitusdatan sallia lohkoketjussa. Kriitikot varoittavat, että muutokset voisivat ”avata padot” roskapostille.
Knotsin kannattajat väittävät, että tällaisen datan suodattaminen on välttämätöntä estämään laittomia tai epäeettisiä sisältöjä upottamasta Bitcoinin kirjanpitoon. Bitcoin Coren kehittäjät kuitenkin sanovat, että rajoitusten asettaminen vahingoittaisi verkon yhtenäisyyttä, hämmentäisi käyttäjiä ja olisi vastoin teknologian perustavanlaatuisia periaatteita avoimuudesta ja puolueettomuudesta.
Galaxy Digitalin tutkimusjohtajan Alex Thornin mukaan suurin osa institutionaalisista Bitcoin-sijoittajista näyttää olevan välinpitämättömiä kiistasta. Thornin 25 institutionaalisen asiakkaan kyselyn mukaan 46 % ei ollut tietoinen asiasta, 36 % sanoi, ettei heitä kiinnostanut, ja loput 18 % olivat kaikki Bitcoin Coren puolella.
