Quarkslab conclui a primeira auditoria pública de terceiros do Bitcoin Core: Nenhuma vulnerabilidade significativa encontrada

A empresa de segurança cibernética Quarkslab completou a primeira auditoria de segurança de terceiros do código fonte do Bitcoin. O código fonte do Bitcoin é uma implementação de referência de código aberto que suporta a rede Bitcoin, contendo um cliente de nó completo, uma interface gráfica de utilizador (GUI) e uma carteira embutida.

De acordo com o anúncio publicado na quarta-feira, esta avaliação, com duração de quatro meses, é financiada pela organização sem fins lucrativos Brink, que apoia o desenvolvimento do protocolo Bitcoin de código aberto, e coordenada pelo Fundo de Melhoria de Tecnologia de Código Aberto (OSTIF). A avaliação foca na camada de rede ponto a ponto (a principal superfície de ataque da rede) e em componentes relacionados, incluindo gerenciamento de pool de memória, estado da cadeia, validação de transações e lógica de consenso.

A auditoria foi concluída em setembro, realizada por três engenheiros da Quarkslab que trabalharam durante 100 dias úteis, com o apoio técnico da Brink e da Chaincode Labs, uma empresa de desenvolvimento de Bitcoin. Antes do início da revisão do código, dois auditores tiveram uma conversa cara a cara com os engenheiros da Brink para se familiarizar com a arquitetura e as práticas de desenvolvimento do núcleo do Bitcoin.

Este processo combina análise de código manual, testes dinâmicos e técnicas avançadas de teste de fuzz, inspiradas no fluxo de trabalho de integração contínua existente do Bitcoin. O teste de fuzz é uma técnica de teste de software automatizada que tenta encontrar vulnerabilidades, fornecendo ao código grandes quantidades de dados inesperados, aleatórios ou mal formatados.

Brink apontou em outro artigo que o objetivo desta medida não é certificar o Bitcoin Core, mas sim “procurar ativamente vulnerabilidades, melhorar métodos de teste e encontrar maneiras práticas de reforçar o código-fonte”.

O relatório da Quarkslab afirma que não foram encontrados problemas graves, de alto risco ou de gravidade média. Os auditores realmente encontraram dois problemas de baixo risco e forneceram 13 recomendações informativas, mas esses problemas não se enquadram nos critérios de classificação de vulnerabilidades de segurança do Bitcoin Core.

Quarkslab afirmou: “Embora não tenham sido encontradas questões de impacto significativo, as estruturas de teste de fuzz existentes, bem como um novo quadro para cenários não testados, como a reestruturação da cadeia, foram melhoradas.” OSTIF acrescentou: “Embora esta auditoria não tenha encontrado quaisquer questões com impacto significativo, crítico ou moderado na segurança, ela forneceu feedback, insights, informações e sugestões de melhoria de testes valiosos para a Bitcoin.” (The Block)