Bitcoin Core首次公開的第三方審計未發現重大漏洞

網路安全公司Quarkslab已完成對Bitcoin Core程式碼庫的首個公開第三方安全審計——這是支撐Bitcoin網路的開源參考實現，包括全節點客戶端、圖形介面以及內嵌錢包。

這項為期四個月的評估由支持開源Bitcoin協議開發的非營利組織Brink資助，並由Open Source Technology Improvement Fund（OSTIF）協調，根據週三的公告，重點審查了點對點網路層——這是網路的主要攻擊面——以及相鄰組件，包括mempool管理、鏈狀態、交易驗證和共識邏輯。

審計於九月完成，總計由三位Quarkslab工程師投入100人天的工作，並獲得Brink及Bitcoin研發公司Chaincode Labs的技術支援。在程式碼審查開始前，兩位審計員曾與Brink工程師面對面合作，以熟悉Bitcoin Core的架構和開發實踐。

審計過程結合了手動程式碼分析、動態測試，以及來自Bitcoin現有持續整合工作流程的先進模糊測試技術。模糊測試是一種自動化軟體測試技術，通過向程式碼輸入大量意外、隨機或格式錯誤的數據來試圖破壞程式碼。

Brink在另一篇文章中指出，這次審計的目標並非為Bitcoin Core認證，而是「主動尋找漏洞、改進測試方法，並找出實際可行的方式來強化程式碼庫」。

未發現高影響問題，但測試顯著改進

Quarkslab報告稱，未發現任何關鍵、高或中等嚴重程度的問題。審計人員確實發現了兩個低嚴重性問題，並提出了13項資訊性建議，這些都未達到Bitcoin Core分類標準下的安全漏洞。

「未發現高影響問題，但現有模糊測試工具以及針對如鏈重組等未測試情境的新工具帶來了邊際提升，」Quarkslab表示。

OSTIF補充道：「雖然本次審計未發現任何具有關鍵、高或中等安全影響的問題，但這次審計為Bitcoin帶來了寶貴的反饋、見解、資訊和測試改進。」

這些結果強化了Bitcoin Core作為一個成熟且保守設計系統的長期觀點，該系統由數十位貢獻者維護，並由多個組織審查。雖然本次評估聚焦於程式碼庫的特定子集，但企業指出，未來對於即將推出新組件的獨立審查仍可能具有價值。

「Bitcoin Core是推動Bitcoin網路並協助保護數兆美元價值的參考實現，」Brink表示。「該專案有著強大的安全記錄，但從未接受過外部安全評估。越多獨立且具安全意識的審查者帶來他們獨特的觀點，對專案越有益。」

量子威脅與客戶端多樣性辯論

這次審計正值關於量子計算對Bitcoin加密假設長期威脅的討論再起。Bitcoin與多數主流區塊鏈一樣，依賴橢圓曲線數位簽章，這對傳統攻擊來說是安全的，但理論上在未來大規模量子電腦下會受到Shor演算法威脅。

如果橢圓曲線加密被破解，私鑰可以直接從已公開的公鑰推導出來——不是通過暴力破解，而是利用量子演算法帶來的數學捷徑。研究人員持續辯論何時需要進行後量子升級，估計時間從數年到數十年不等，這促使業界持續探索一旦公鑰被公開後保護資金的遷移路徑。

原生SegWit Bitcoin地址格式以「bc1q」開頭，被認為對量子攻擊更具抵抗力，因為在資金被花費前不會公開公鑰。鏈上僅顯示經過雜湊的公鑰，這對量子電腦來說要攻擊困難得多。

這意味著，只要這些地址的資金從未被花費且公鑰未被公開，就能免於量子密鑰恢復攻擊。然而，一旦發生花費，公鑰就會公開，該地址剩餘資金將承擔相同的風險——這再次強化了長期以來避免地址重複使用並在花費時轉移全部餘額的建議。

Bitcoin Core的審查也緊隨Bitcoin生態系統內關於客戶端多樣性及Bitcoin Core與Knots之間關係的近期辯論。Knots是一個衍生實現，保留了在上月Core最新v30版本中修改的某些政策和配置選項。這場時常激烈的辯論突顯了業界對於Bitcoin應如何在軟體堆疊中平衡保守性、選擇性和去中心化的不同觀點。