Bitcoin Core 的首个公开第三方审计未发现重大漏洞

币搜网报道：

网络安全公司 Quarkslab 完成了对比特币核心代码库的首次公开第三方安全审计——比特币核心代码库是支撑比特币网络的开源参考实现，包括一个全节点客户端、一个 GUI 和一个嵌入式钱包。

四个月据周三发布的消息，该项目由支持开源比特币协议开发的非营利组织 Brink 资助，并由开源技术改进基金 (OSTIF) 协调，重点关注点对点网络层（网络的主要攻击面）以及相关组件，包括内存池管理、链状态、交易验证和共识逻辑。.

该审计工作于9月完成，共耗时100人日，由三位Quarkslab工程师执行，并得到了Brink和比特币研发公司Chaincode Labs的技术支持。在代码审查开始之前，两位审计人员与Brink工程师进行了面对面的交流，以熟悉比特币核心的架构和开发流程。

该流程结合了人工代码分析、动态测试以及借鉴自比特币现有持续集成工作流程的高级模糊测试技术。模糊测试是一种自动化软件测试技术，它通过向代码输入大量意外的、随机的或格式错误的数据来尝试找出代码缺陷。

布林克在另一份文件中指出，此举的目的并非认证比特币核心，而是“积极寻找漏洞、改进测试方法，并找到加强代码库的切实可行的方法”。.

没有出现重大问题，但测试性能有显著提升。

Quarkslab报告称，未发现任何严重、高危或中等危安全问题。审计人员确实发现了两个低危问题，并提供了13条信息性建议，但这些问题均不符合Bitcoin Core的安全漏洞分类标准。

Quarkslab 表示：“没有发现重大问题，但对现有的模糊测试工具以及用于覆盖链重组等未经测试的场景的新工具都带来了边际收益。”

OSTIF补充道：“虽然本次审计过程中没有发现任何具有严重、高或中等安全影响的问题，但此次审计为比特币提供了宝贵的反馈、见解、信息和测试改进。”

评估结果进一步印证了人们长期以来对比特币核心的看法，即它是一个成熟且设计保守的系统，由数十位贡献者维护，并经过多个组织的审查。这些公司指出，虽然此次评估侧重于代码库的特定子集，但未来独立审查可能仍然具有价值，尤其对于即将发布的版本中引入的新组件而言。

布林克表示：“比特币核心是比特币网络的参考实现，它为数万亿美元的价值提供了保障。该项目拥有良好的安全记录，但从未接受过外部安全评估。越多具有独立性和安全意识的审查人员带来他们独特的视角，就越好。”

量子问题与客户多元化之争

此次审计正值各方重新讨论长期发展问题之际。比特币的加密假设存在问题。与大多数主流区块链一样，比特币依赖于椭圆曲线数字签名，这种签名方式可以抵御经典攻击，但理论上在未来的大规模量子计算机上容易受到 Shor 算法的攻击。

如果椭圆曲线密码学被破解，私钥可以直接从泄露的公钥推导而出——并非通过暴力破解（这种方法仍然不可行），而是通过量子算法实现的数学捷径。研究人员仍在争论后量子时代升级何时可能成为必要，估计时间从几年到几十年不等，这促使人们不断探索在公钥泄露后保护资金的迁移路径。

以“bc1q”开头的原生SegWit比特币地址格式被认为更能抵御量子攻击，因为它们在资金被花费之前不会泄露公钥。链上仅显示公钥的哈希值，这使得量子计算机更难攻击。

这意味着，只要这些地址中的资金从未被使用且公钥未被泄露，它们就能免受量子密钥恢复攻击。然而，一旦资金被使用，公钥就会暴露，与该地址关联的任何剩余资金都将面临同样的风险——这再次印证了长期以来避免地址重复使用以及在支出时转移全部余额的建议。

Bitcoin Core 的审查也紧随比特币生态系统近期关于客户端多样性以及 Bitcoin Core 与 Knots 之间关系的争论之后。Knots 是一个衍生实现，它保留了上个月 Bitcoin Core 最新 v30 版本中修改的某些策略和配置选项。这场争论往往十分激烈。重点阐述了关于比特币软件栈中保守性、选择性和去中心化之间应如何平衡的不同观点。