شركة Quarkslab تُكمل أول تدقيق أمني عام من قِبل جهة خارجية لـ Bitcoin Core

شركة الأمن السيبراني كواركسلاب أعلنت أنها أكملت أول عملية تدقيق أمني عامة من قبل طرف ثالث بيتكوين الأساسية . تم تمويل التقييم من قبل حافة ويتم تنسيقه من قبل صندوق تحسين تكنولوجيا المصدر المفتوح ( أوستيف تتعاون شركة Quarkslab مع OSTIF منذ عام 2015 وتجري عمليات تدقيق أمنية متعلقة بسلسلة الكتل منذ عام 2018، بدءًا من مراجعة تنفيذ Bulletproofs الخاص بـ Monero.

في هذا التعاون، أجرت Quarkslab تقييمًا أمنيًا مفصلاً لـ Bitcoin Core لدعم المطورين والمجتمع في تعزيز أمن النظام البيئي. جمع التدقيق بين التحليل الثابت والاختبار الديناميكي لتوفير رؤية شاملة لوضع أمن النظام، وتقييم أساليب الاختبار الحالية، واقتراح مناهج جديدة.

بيتكوين كور هو التطبيق المرجعي لشبكة بيتكوين، ويدعم أصولًا تُقدر بتريليونات الدولارات، ويتضمن عميلًا كامل العقد، وواجهة مستخدم رسومية، وميزات تعدين، ومحفظة مدمجة. منذ إصداره الأول من قِبل ساتوشي ناكاموتو في أغسطس 2009، خضع لتطوير مكثف، محققًا أكثر من 46,000 عملية التزام خلال 16 عامًا. كُتب بلغة C وC++، ويديره عشرات المساهمين النشطين، العديد منهم مموّل من قِبل منظمات مثل Brink وChaincode Labs، ويشكل أساس البنية التحتية اللامركزية لبيتكوين. على الرغم من أن البروتوكول نفسه نادرًا ما يُحدّث، إلا أن قاعدة الكود تُحسّن وتُدمج باستمرار. مع العدد الهائل من العقد التي تُشغّل هذا البرنامج، قد يكون لأي خلل آثارٌ نظامية، مما يجعل التدقيق الشامل من قِبل جهة خارجية إضافةً مهمةً لجهود الأمان المستمرة التي يبذلها مطورو بيتكوين كور.

أُجري التدقيق على مدى فترة من مايو إلى سبتمبر، بإجمالي 100 يوم عمل. ونظرًا لحجم قاعدة البيانات، ركز التقييم على طبقة شبكات الند للند، وهي سطح الهجوم الرئيسي لشبكة بيتكوين. وشمل ذلك تجمع الذاكرة، وإدارة الند والسلسلة، ومنطق الإجماع والتحقق من صحة السياسات.

تم تنظيم العمل على ثلاث مراحل: مراجعة يدوية للكود تستهدف إدارة سلاسل العمليات والتحقق من صحة المعاملات، واختبار ديناميكي باستخدام أدوات وأطر عمل بيتكوين الحالية، واختبار ضبابي متقدم بأساليب لم تُطبق سابقًا أو نادرًا ما تُطبق على قاعدة الكود. هدفت المراجعة إلى تحديد نقاط الضعف المحتملة ودعم المجتمع في تعزيز الأمن الشامل من خلال المساهمات المباشرة، مثل طلبات السحب وأدوات اختبار الضبابية الجديدة، واستكشاف أساليب جديدة لتعزيز قاعدة الكود وعمليات الاختبار.

تدقيق Quarkslab: لا توجد مشاكل كبيرة في جوهر Bitcoin، يوصى بتحسينات الاختبار وتحسينات التشويش

حدد الباحثون نتيجتين منخفضتي الخطورة وثلاث عشرة توصية إعلامية أثناء التدقيق، ولا يشكل أي منها أي خطر أمني وفقًا لـ بيتكوين الأساسية تصنيفات نقاط الضعف. ركّز جزء كبير من العمل على تعزيز إطار اختبار Bitcoin Core، باستخدام أدوات التمويه الداخلية والخبرات المتخصصة. وشمل ذلك إنشاء أدوات تمويه جديدة لاتصالات الكتل وإعادة تنظيم السلسلة، والتي مارست مسارات برمجية لم تُختبر سابقًا، وتناولت توصيات لتحسين تعليقات سلامة الخيوط وقابلية قراءة الكود بشكل عام.

وقد أدى هذا الالتزام أيضًا إلى العديد من التحسينات في البنية التحتية للاختبار في Bitcoin Core، بما في ذلك مجموعة اختبار موسعة لزيادة التغطية، وصورة Docker لتسهيل حملات التمويه الجماعي، وأداة اختبار تجريبية غير انحدارية تعتمد على نقاط تتبع Bitcoin، واستكشاف طرق التمويه المختلفة مثل التمويه المنظم والتفاضلي.

ركز التقييم على مكونات الند للند وعلى سيناريوهات الهجوم الأكثر تأثيرًا التي تؤثر على توافق الآراء أو توافر البروتوكول. لم تُرصد أي مشاكل كبيرة التأثير، على الرغم من إجراء تحسينات تدريجية على أدوات التمويه الحالية، وإدخال أدوات جديدة لتغطية سيناريوهات غير مُختبرة مثل إعادة تنظيم السلسلة. استُكشفت أساليب اختبار بديلة، بما في ذلك التمويه الجماعي والتفاضلي، ومن المتوقع أن تُضيف قيمة إلى استراتيجية الاختبار العامة ومرونة المشروع. وعلى وجه الخصوص، يُعتبر Fuzzamoto 2، وهو أسلوب التمويه اللقطة الذي طورته شركة Brink، وسيلة واعدة للكشف عن أخطاء أكثر تعقيدًا.

أعربت شركة Quarkslab عن امتنانها لمهندسي مختبرات Brink وChaincode على دعمهم المستمر طوال عملية التدقيق. وقد أبرز التقييم قوة بنية Bitcoin Core وموثوقيتها ونضجها. وأكدت Quarkslab أن تجربة مراجعة هذا البرنامج المتطور وذو التصميم الجيد كانت قيّمة للغاية، وتأمل أن تُعزز نتائجها المشروع بشكل أكبر.