A empresa de segurança cibernética Quarkslab concluiu a primeira auditoria pública de segurança de terceiros da base de código Bitcoin Core – a implementação de referência de código aberto que sustenta a rede Bitcoin, incluindo um cliente de nó completo, uma GUI e uma carteira incorporada.
A avaliação de quatro meses, financiada pela Brink, uma organização sem fins lucrativos que apoia o desenvolvimento do protocolo Bitcoin de código aberto, e coordenada pelo Open Source Technology Improvement Fund (OSTIF), focou na camada de rede peer-to-peer – a superfície de ataque primária da rede – bem como componentes adjacentes, incluindo gerenciamento de mempool, estado da cadeia, validação de transação e lógica de consenso, de acordo com um anúncio de quarta-feira.
Concluída em setembro, a auditoria totalizou 100 dias-homem de trabalho conduzido por três engenheiros da Quarkslab, com suporte técnico da Brink e da empresa de pesquisa e desenvolvimento de Bitcoin Chaincode Labs. Antes do início da revisão do código, dois auditores trabalharam pessoalmente com os engenheiros da Brink para se familiarizarem com a arquitetura e as práticas de desenvolvimento do Bitcoin Core.
O processo combinou análise manual de código, testes dinâmicos e técnicas avançadas de difusão extraídas dos fluxos de trabalho de integração contínua existentes do Bitcoin. Fuzzing é uma técnica automatizada de teste de software que tenta quebrar o código alimentando-o com grandes volumes de dados inesperados, aleatórios ou malformados.
O objetivo não era certificar o Bitcoin Core, mas “procurar ativamente por vulnerabilidades, melhorar metodologias de teste e identificar maneiras práticas de fortalecer a base de código”, observou Brink em uma postagem separada.
Sem problemas de alto impacto, mas melhorias notáveis nos testes
A Quarkslab não relatou resultados críticos, de alta ou média gravidade. Os auditores identificaram dois problemas de baixa gravidade e forneceram 13 recomendações informativas, nenhuma das quais qualificada como vulnerabilidades de segurança segundo os padrões de classificação do Bitcoin Core.
“Nenhum problema de alto impacto foi encontrado, mas um ganho marginal foi gerado nos chicotes de fuzzing existentes, bem como em novos para cobrir cenários não testados, como a reorganização da cadeia”, disse Quarkslab.
“Embora nenhuma descoberta com impacto de segurança crítico, alto ou médio tenha sido identificada durante este envolvimento, esta auditoria forneceu feedback valioso, insights, informações e melhorias de teste para Bitcoin”, acrescentou OSTIF.
Os resultados reforçam visões de longa data do Bitcoin Core como um sistema maduro e de engenharia conservadora, mantido por dezenas de colaboradores e revisado por diversas organizações. Embora a avaliação tenha se concentrado em um subconjunto definido da base de código, revisões independentes podem novamente ser valiosas no futuro, especialmente para novos componentes introduzidos em lançamentos futuros, observaram as empresas.
“Bitcoin Core é a implementação de referência que alimenta a rede Bitcoin e ajuda a garantir trilhões de dólares em valor”, disse Brink. “O projeto tem um forte histórico de segurança, mas nunca passou por uma avaliação externa de segurança. Quanto mais revisores independentes e preocupados com a segurança trouxerem suas perspectivas únicas, melhor.”
Preocupações quânticas e debates sobre diversidade de clientes
A auditoria chega em meio a uma discussão renovada sobre a ameaça quântica de longo prazo às suposições criptográficas do Bitcoin. O Bitcoin, como a maioria dos principais blockchains, depende de assinaturas digitais de curva elíptica, que são seguras contra ataques clássicos, mas teoricamente vulneráveis ao algoritmo de Shor em um futuro computador quântico de grande escala.
Se a criptografia da curva elíptica fosse quebrada, as chaves privadas poderiam ser derivadas diretamente das chaves públicas expostas – não através de adivinhação de força bruta, o que permaneceria inviável, mas através de um atalho matemático possibilitado por algoritmos quânticos. Os investigadores continuam a debater os prazos para quando as atualizações pós-quânticas poderão tornar-se necessárias, com estimativas que variam entre alguns anos e décadas, o que leva à exploração contínua de caminhos de migração que protegeriam os fundos assim que as chaves públicas fossem reveladas.
Os formatos de endereço Bitcoin nativos do SegWit que começam com “bc1q” são considerados mais resistentes a ataques quânticos porque não revelam a chave pública até que os fundos sejam gastos. Apenas a chave pública com hash é visível na cadeia, o que seria muito mais difícil de ser atacado por um computador quântico.
Isto significa que os fundos armazenados nestes endereços permanecem protegidos contra ataques de recuperação de chave quântica, desde que nunca tenham sido gastos e a chave pública não tenha sido exposta de outra forma. No entanto, assim que esse gasto ocorrer, a chave pública torna-se visível e quaisquer fundos restantes vinculados a esse endereço herdarão a mesma vulnerabilidade – reforçando orientações de longa data para evitar a reutilização de endereços e movimentar o saldo total ao gastar.
A revisão do Bitcoin Core também segue o debate recente dentro do ecossistema Bitcoin sobre a diversidade de clientes e a relação entre Bitcoin Core e Knots – uma implementação derivada que mantém certas opções de política e configuração modificadas na última versão v30 do Core no mês passado. O debate frequentemente acalorado destacou pontos de vista divergentes sobre como o Bitcoin deveria equilibrar conservadorismo, opcionalidade e descentralização em sua pilha de software.
Isenção de responsabilidade: The Block é um meio de comunicação independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é o investidor majoritário do The Block. A Foresight Ventures investe em outras empresas no espaço criptográfico. Crypto exchange Bitget é um LP âncora da Foresight Ventures. The Block continua a operar de forma independente para fornecer informações objetivas, impactantes e oportunas sobre a indústria de criptografia. Aqui estão nossas divulgações financeiras atuais.
© 2025 O Bloco. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Ele não é oferecido nem tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fontetheblock
