币搜网报道:
夸克平板 主导的最新比特币核心审计对参考客户端进行了罕见的深入外部审查,重点关注其点对点网络层。
概括
为什么对比特币核心进行新的第三方安全审查至关重要
Quarkslab已完成首个由第三方机构资助的比特币核心安全评估。边缘由开源技术改进基金(OSTIF)协调。
这家安保公司曾与……合作OSTIF自 2015 年以来,该公司于 2018 年通过研究门罗币的 Bulletproofs 实现进入区块链领域的评论。
在此次合作中,Quarkslab 的专家对 比特币核心 进行了评估,旨在帮助开发者和更广泛的社区加强该协议生态系统的安全性。团队结合静态分析和动态测试,全面了解了该项目的安全状况。
此外,他们还审查了现有的测试技术,并提出了扩大覆盖范围的新方法。
完整的技术报告可在 Quarkslab 的公共报告库中获取,更多背景信息请参见……这些文件共同详细介绍了方法、范围和结果。
比特币核心代码库对网络有多重要?
是比特币协议的规范实现,也是价值数万亿美元的资产的基础(截至撰写本文时)。它包含一个全节点客户端、一个图形界面、挖矿功能和一个嵌入式钱包,构成了网络的软件骨干。
最初版本由中本聪成立于2009年8月,此后经历了超过……的发展。46,000 次提交历经 16 年,该程序使用 C 和 C++ 编写,目前由数十位活跃的贡献者维护,其中许多贡献者得到了 Brink 和 Chaincode Labs 等机构的资助。
然而,尽管该项目已经相当成熟,但从未由外部安全公司进行过全面的公开审查。
尽管比特币协议本身的升级频率相对较低,但其底层代码库却在不断更新迭代。它会定期进行重构、优化和模块化。
由于大多数节点都运行着这种实现,任何缺陷都可能对系统造成影响。尽管如此,此次新的审查是对比特币核心贡献者长期以来内部安全工作的补充。
评估的范围和方法是什么?
评估由……进行罗宾·大卫,尼古拉斯·苏尔巴约尔和米哈伊尔·基洛夫该项目得到了 Brink 的 Niklas Gögge 和 Chaincode Labs 的 Antoine Poinsot 的技术支持。项目于 5 月至 9 月期间开展,总投入为100人日工作。
鉴于代码库庞大且时间有限,Brink 和 Quarkslab 同意将范围缩小到点对点网络层,因为这是比特币网络的主要攻击面。因此,这需要对内存池、节点和链管理以及共识和策略验证逻辑进行详细分析。
这项工作平均分为三个阶段。首先是对目标组件进行人工代码审查,重点关注线程管理和交易验证。然后,团队使用已集成到比特币工作流程中的现有工具进行动态测试。
最后,他们应用了先进的模糊测试技术,包括一些此前很少或从未在该代码库中使用过的替代策略。这种结构化的方法旨在发现潜在的弱点,同时提高长期测试质量。
比特币核心安全审计发现了哪些问题?
Quarkslab报告了2个低危漏洞和13条信息性建议。根据Bitcoin Core的漏洞分类,这些问题都不会对安全造成直接影响。
然而,大部分努力都集中在加强方面。利用现有的模糊测试工具和内部专业知识,攻克更难触及的代码路径。
针对块连接和链重组开发了新的模糊测试工具,从而能够更彻底地测试很少测试的逻辑。
此外,团队还提出了针对性的建议,以改进线程安全注解和整体代码可读性。这些改进旨在降低未来风险,即使目前没有直接的漏洞。
此次合作也为测试工具包带来了实质性的补充。Quarkslab 贡献了一个扩展的测试语料库以提高覆盖率,一个用于运行集成模糊测试活动的 Docker 镜像,以及一个基于比特币追踪点构建的实验性非回归测试工具。
此外,还探索了多种实验方法,包括结构化模糊测试和差分模糊测试。部分审计工件已在配套的 bitcoin-audit-artifacts 代码库和 [此处应填写代码库名称] 中公开记录。.
模糊测试和链重组方案是如何演变的?
此次评审最显著的贡献之一在于对比特币核心进行了高级模糊测试。除了增强现有测试工具外,Quarkslab 还构建了专门用于链重组场景和复杂区块连接路径的新工具。这项工作将模糊测试人员的工作范围扩展到了此前自动化测试有限的领域。
此外,团队还尝试了集成模糊测试和差异化测试策略。虽然这些试验并未在现有代码库中发现任何新的漏洞,但它们为增强项目的弹性提供了有希望的途径。
特别是,Brink 目前正在开发的基于快照的方法被认为特别有希望触发共识和网络逻辑中更深层次、更复杂的缺陷。
这项第三方安全评估对比特币的未来意味着什么?
安全审查主要集中在P2P层以及与共识完整性和协议可用性相关的最具影响力的攻击场景。虽然未发现重大问题,但对现有模糊测试工具的改进以及为链重组而创建新的工具,加强了网络层攻击面边缘的防御。
诸如集成模糊测试和差异化测试等替代测试技术并未发现当前存在的漏洞。然而,它们显然为更广泛的测试策略增添了价值,并有助于增强项目的稳健性。对于像比特币核心这样的关键基础设施组件而言,扩展测试工具箱的重要性几乎与修复单个漏洞不相上下。
Quarkslab 对 Brink 和 Chaincode Labs 的工程师们在整个合作过程中给予的持续支持表示感谢。架构、稳健性和整体成熟度比特币核心凝聚了多年的心血和努力.
通过这项独立审查,维护者对软件更有信心,并制定了进一步改进比特币核心测试基础设施的路线图,其中包括以下方面:.
对于那些有兴趣了解更多背景信息的人,Brink 已发表了其对该评论的看法。结合 OSTIF 和 Quarkslab 的出版物,这些材料全面展示了现代第三方信息安全评估如何支持开源金融基础设施。
总的来说,这次比特币核心审计增强了人们对参考客户端的信心,同时为测试、文档和网络层弹性带来了切实的改进,为未来开展快照模糊测试和其他高级技术的工作奠定了坚实的基础。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
