Quarkslab完成Bitcoin Core首個公開第三方審計：未發現重大漏洞

網路安全公司 Quarkslab 完成了對比特幣核心代碼庫的首次公開第三方安全審計。比特幣核心代碼庫是支撐比特幣網路的開源參考實現，包含全節點客戶端、圖形用戶界面 (GUI) 和嵌入式錢包。

根據周三發布的公告，這項爲期四個月的評估由支持開源比特幣協議開發的非營利組織 Brink 資助，並由開源技術改進基金 (OSTIF) 協調。評估重點關注點對點網絡層（網路的主要攻擊面）以及相關組件，包括內存池管理、鏈狀態、交易驗證和共識邏輯。

該審計於 9 月完成，由三位 Quarkslab 工程師耗時 100 個工作日完成，並得到了 Brink 和比特幣研發公司 Chaincode Labs 的技術支持。在代碼審查開始之前，兩位審計人員與 Brink 的工程師進行了面對面的交流，以熟悉比特幣核心的架構和開發實踐。

該流程結合了人工代碼分析、動態測試以及從比特幣現有的持續集成工作流程中借鑑的高級模糊測試技術。模糊測試是一種自動化軟件測試技術，它通過向代碼輸入大量意外的、隨機的或格式錯誤的數據來嘗試找出漏洞。

Brink 在另一篇文章中指出，此舉的目的並非認證 Bitcoin Core，而是“積極尋找漏洞、改進測試方法，並找到切實可行的方法來加強代碼庫”。

Quarkslab 報告稱，未發現任何嚴重、高危或中等嚴重性問題。審計人員確實發現了兩個低危問題，並提供了 13 條信息性建議，但這些問題均不符合 Bitcoin Core 的安全漏洞分類標準。

Quarkslab 表示：“雖然未發現重大影響問題，但現有模糊測試框架以及用於覆蓋鏈重組等未測試場景的新框架均有所改進。”OSTIF 補充道：“雖然本次審計未發現任何具有重大、高危或中等安全影響的問題，但它爲 Bitcoin 提供了寶貴的反饋、見解、信息和測試改進建議。”（The Block）