La revisione indipendente condotta da Quarkslab conferma la solidità del codice di Bitcoin Core.
Il software Bitcoin Core, implementazione più utilizzata del protocollo Bitcoin, ha superato con successo il suo primo audit di sicurezza pubblico condotto da un’entità terza indipendente. L’analisi, realizzata dalla società di cybersicurezza Quarkslab, non ha rilevato problematiche di gravità critica, alta o media.
L’audit, della durata di quattro mesi e finanziato dall’organizzazione no-profit Brink in collaborazione con l’Open Source Technology Improvement Fund (OSTIF), ha coinvolto tre ingegneri specializzati di Quarkslab per un totale di 100 giornate di lavoro. L’analisi, completata nel settembre scorso, si è concentrata principalmente sul livello di networking peer-to-peer, considerato la principale superficie di attacco del sistema.
Gli esperti hanno esaminato anche componenti adiacenti, tra cui la gestione della mempool, lo stato della blockchain, la validazione delle transazioni e la logica di consenso. Prima dell’avvio della revisione del codice, due auditor hanno collaborato direttamente con gli ingegneri di Brink per comprendere a fondo l’architettura e le pratiche di sviluppo dell’audit.
Il processo di verifica ha combinato analisi manuale del codice, testing dinamico e tecniche avanzate di fuzzing, una metodologia automatizzata che testa la resistenza del software sottoponendolo a grandi volumi di dati casuali, imprevisti o malformati. Tale approccio multidimensionale ha permesso di valutare la sicurezza del codice da diverse angolazioni.
Come precisato da Brink, l’obiettivo dell’audit non era certificare il software, ma “ricercare attivamente vulnerabilità, migliorare le metodologie di testing e identificare modalità pratiche per rafforzare la codebase”.
Quarkslab ha confermato l’assenza di criticità rilevanti nell’audit. Sono stati identificati solamente due problemi di bassa gravità e fornite 13 raccomandazioni informative, nessuna delle quali classificabile come vulnerabilità di sicurezza secondo gli standard di Core.
“Non sono stati riscontrati problemi ad alto impatto, ma sono stati apportati miglioramenti marginali agli strumenti di fuzzing esistenti, oltre a nuovi strumenti per coprire scenari non testati come la riorganizzazione della blockchain”, ha dichiarato Quarkslab.
L’OSTIF ha aggiunto che, sebbene non siano emerse vulnerabilità di impatto critico, alto o medio, l’audit ha fornito un feedback prezioso, approfondimenti e miglioramenti ai sistemi di testing.
