Quarkslab完成Bitcoin Core首个公开第三方审计：未发现重大漏洞

网络安全公司 Quarkslab 完成了对比特币核心代码库的首次公开第三方安全审计。比特币核心代码库是支撑比特币网络的开源参考实现，包含全节点客户端、图形用户界面 (GUI) 和嵌入式钱包。

根据周三发布的公告，这项为期四个月的评估由支持开源比特币协议开发的非营利组织 Brink 资助，并由开源技术改进基金 (OSTIF) 协调。评估重点关注点对点网络层（网络的主要攻击面）以及相关组件，包括内存池管理、链状态、交易验证和共识逻辑。

该审计于 9 月完成，由三位 Quarkslab 工程师耗时 100 个工作日完成，并得到了 Brink 和比特币研发公司 Chaincode Labs 的技术支持。在代码审查开始之前，两位审计人员与 Brink 的工程师进行了面对面的交流，以熟悉比特币核心的架构和开发实践。

该流程结合了人工代码分析、动态测试以及从比特币现有的持续集成工作流程中借鉴的高级模糊测试技术。模糊测试是一种自动化软件测试技术，它通过向代码输入大量意外的、随机的或格式错误的数据来尝试找出漏洞。

Brink 在另一篇文章中指出，此举的目的并非认证 Bitcoin Core，而是“积极寻找漏洞、改进测试方法，并找到切实可行的方法来加强代码库”。

Quarkslab 报告称，未发现任何严重、高危或中等严重性问题。审计人员确实发现了两个低危问题，并提供了 13 条信息性建议，但这些问题均不符合 Bitcoin Core 的安全漏洞分类标准。

Quarkslab 表示：“虽然未发现重大影响问题，但现有模糊测试框架以及用于覆盖链重组等未测试场景的新框架均有所改进。”OSTIF 补充道：“虽然本次审计未发现任何具有重大、高危或中等安全影响的问题，但它为 Bitcoin 提供了宝贵的反馈、见解、信息和测试改进建议。”（The Block）