Bitcoin Core'ning birinchi ommaviy uchinchi tomon auditi katta zaifliklarni aniqlamadi

Kiberxavfsizlik firmasi Quarkslab Bitcoin Core kod bazasining birinchi ommaviy, uchinchi tomon xavfsizlik auditini yakunladi — bu ochiq manbali referens-implementatsiya bo‘lib, Bitcoin tarmog‘ining asosi hisoblanadi, unga to‘liq tugun (full-node) mijoz, GUI va ichki hamyon kiradi.

To‘rt oy davom etgan baholash, ochiq manbali Bitcoin protokoli rivojlanishini qo‘llab-quvvatlovchi notijorat tashkilot Brink tomonidan moliyalashtirildi va Open Source Technology Improvement Fund (OSTIF) tomonidan muvofiqlashtirildi. Bu jarayon peer-to-peer tarmoq qatlamiga — tarmoqning asosiy hujum yuzasiga — hamda unga tutash komponentlarga, jumladan mempool boshqaruvi, zanjir holati, tranzaksiyalarni tekshirish va konsensus logikasiga qaratilgan, deb e’lon qilindi chorshanba kuni.

Sentyabr oyida yakunlangan audit uch nafar Quarkslab muhandisi tomonidan jami 100 ish kuni davomida amalga oshirildi, texnik yordam esa Brink va Bitcoin tadqiqot va rivojlanish firmasi Chaincode Labs tomonidan taqdim etildi. Kod ko‘rib chiqilishi boshlanishidan oldin, ikki auditor Brink muhandislari bilan birga Bitcoin Core arxitekturasi va dasturlash amaliyotlari bilan tanishish uchun joyida ishlashdi.

Jarayon qo‘lda kod tahlili, dinamik testlash va Bitcoin’ning mavjud uzluksiz integratsiya ish jarayonlaridan olingan ilg‘or fuzzing texnikalarini o‘z ichiga oldi. Fuzzing — bu avtomatlashtirilgan dasturiy ta’minotni testlash usuli bo‘lib, kodga kutilmagan, tasodifiy yoki noto‘g‘ri shakllangan ma’lumotlarni katta hajmda yuborish orqali uni buzishga harakat qiladi.

Maqsad Bitcoin Core’ni sertifikatlash emas, balki “zaifliklarni faol izlash, testlash metodologiyalarini yaxshilash va kod bazasini mustahkamlashning amaliy usullarini aniqlash” edi, deya ta’kidladi Brink alohida postda.

Yuqori ta’sirli muammolar yo‘q, lekin testlashda sezilarli yaxshilanishlar

Quarkslab tanqidiy, yuqori yoki o‘rta darajadagi muammolarni aniqlamadi. Auditorlar ikki past darajadagi muammoni aniqlashdi va 13 ta axborot tavsiyalarini taqdim etishdi, ularning hech biri Bitcoin Core’ning xavfsizlik tasnifi standartlariga ko‘ra xavfsizlik zaifligi sifatida baholanmadi.

“Yuqori ta’sirli muammolar aniqlanmadi, lekin mavjud fuzzing vositalariga hamda zanjirni qayta tashkil etish kabi hali test qilinmagan ssenariylarni qamrab oluvchi yangi vositalarga kichik foyda olib kelindi,” — dedi Quarkslab.

“Ushbu hamkorlik davomida tanqidiy, yuqori yoki o‘rta xavfsizlik ta’siriga ega topilmalar aniqlanmagan bo‘lsa-da, audit Bitcoin uchun qimmatli fikr-mulohazalar, tushunchalar, ma’lumot va testlash yaxshilanishlarini taqdim etdi,” — deya qo‘shimcha qildi OSTIF.

Natijalar Bitcoin Core’ni o‘nlab ishtirokchilar tomonidan saqlanadigan va bir nechta tashkilotlar tomonidan ko‘rib chiqiladigan yetuk va konservativ tarzda ishlab chiqilgan tizim sifatida uzoq vaqtdan beri mavjud bo‘lgan qarashlarni mustahkamladi. Baholash kod bazasining aniq bir qismini qamrab olgan bo‘lsa-da, mustaqil ko‘rib chiqishlar kelajakda, ayniqsa yangi komponentlar chiqariladigan versiyalarda, yana foydali bo‘lishi mumkin, deb ta’kidlashdi kompaniyalar.

“Bitcoin Core — bu Bitcoin tarmog‘ini quvvatlovchi va trillionlab dollar qiymatini himoya qiluvchi referens-implementatsiya,” — dedi Brink. “Loyiha kuchli xavfsizlik tarixiga ega, lekin hech qachon tashqi xavfsizlik baholashidan o‘tmagan. Qanchalik ko‘p mustaqil, xavfsizlikka yo‘naltirilgan ko‘rib chiqishlar bo‘lsa, shuncha yaxshi.”

Kvant xavotirlari va mijozlar xilma-xilligi bo‘yicha bahslar

Audit Bitcoin’ning kriptografik taxminlariga uzoq muddatli kvant tahdidi yuzasidan yangilangan muhokamalar fonida amalga oshirildi. Bitcoin, ko‘plab yirik blokcheynlar kabi, elliptik egri raqamli imzolarga tayanadi, ular klassik hujumlarga qarshi xavfsiz, lekin nazariy jihatdan kelajakdagi yirik kvant kompyuterda Shor algoritmiga zaif bo‘lishi mumkin.

Agar elliptik egri kriptografiyasi buzilsa, maxfiy kalitlar ochiq kalitlardan to‘g‘ridan-to‘g‘ri olinishi mumkin — bu kuch bilan taxmin qilish orqali emas, bu hali ham imkonsiz bo‘lib qoladi, balki kvant algoritmlari yordamida matematik qisqa yo‘l orqali. Tadqiqotchilar post-kvant yangilanishlari qachon zarur bo‘lishi mumkinligi borasida bahslarni davom ettirmoqda, taxminlar bir necha yildan o‘n yilliklarga qadar farq qiladi, bu esa ochiq kalitlar oshkor bo‘lganda mablag‘larni himoya qilish uchun migratsiya yo‘llarini izlashga turtki bermoqda.

“bc1q” bilan boshlanadigan Native SegWit Bitcoin manzillari kvant hujumlariga nisbatan ko‘proq chidamli hisoblanadi, chunki ular mablag‘lar sarflanmaguncha ochiq kalitni oshkor qilmaydi. Faqat xeshlangan ochiq kalit zanjirda ko‘rinadi, bu esa kvant kompyuter uchun hujum qilishni ancha qiyinlashtiradi.

Bu shuni anglatadiki, ushbu manzillarda saqlangan mablag‘lar, agar ular hech qachon sarflanmagan va ochiq kalit boshqa yo‘l bilan oshkor qilinmagan bo‘lsa, kvant kalitni tiklash hujumlaridan himoyalangan bo‘lib qoladi. Biroq, mablag‘ sarflanganda, ochiq kalit ko‘rinadi va ushbu manzilga bog‘langan qolgan mablag‘lar ham xuddi shu zaiflikka ega bo‘ladi — bu esa manzildan qayta foydalanmaslik va sarflashda butun balansni ko‘chirish bo‘yicha uzoq vaqtdan beri mavjud bo‘lgan tavsiyalarni yana bir bor tasdiqlaydi.

Bitcoin Core’ning ko‘rib chiqilishi, shuningdek, yaqinda Bitcoin ekotizimida mijozlar xilma-xilligi va Bitcoin Core hamda Knots o‘rtasidagi munosabatlar bo‘yicha bahslar ortidan amalga oshirildi — bu Core’ning o‘tgan oygi v30 so‘nggi relizida o‘zgartirilgan ayrim siyosat va konfiguratsiya variantlarini saqlab qoluvchi hosila implementatsiya. Ko‘pincha qizg‘in kechgan bahslar Bitcoin dasturiy ta’minot to‘plamida konservatizm, ixtiyoriylik va markazsizlashtirish o‘rtasidagi muvozanat qanday bo‘lishi kerakligi borasida turli qarashlarni namoyon etdi.