Bitcoin Coreのセキュリティ監査
Bitcoin Coreは、Bitcoinプロトコルの広く使用されているソフトウェア実装であり、初めて公開された第三者によるセキュリティ監査を受けました。この評価では、高影響の脆弱性は見つからず、ネットワークの長期的なレジリエンスを強化する新しいテストツールが導入されました。
監査の実施と目的
Bitcoin Coreは、世界最大のブロックチェーンを運営するソフトウェアであり、今回の監査はサイバーセキュリティ企業Quarkslabによって実施され、Brinkの資金提供を受け、Open Source Technology Improvement Fund(OSTIF)によって調整されました。この取り組みは、数兆ドルの価値を保護するソフトウェアの独立した検査を提供し、Bitcoinのセキュリティライフサイクルにおける重要なマイルストーンを示しています。
監査の結果と評価
Bitcoin Coreは2009年以降大きく進化し、46,000以上のコミットと数十人の開発者からの貢献があります。成熟しているにもかかわらず、このプロジェクトは外部企業による完全な公開監査を受けたことがなく、今回のレビューはその欠如を解消することを目的としました。
監査は5月から9月の間に実施され、主にP2Pネットワーキング層に焦点を当てました。これはBitcoinの最も高い攻撃面の一つです。
そこから、Quarkslabはmempoolロジック、チェーン管理、コンセンサス検証、トランザクション処理経路への分析を拡張しました。チームは、手動コードレビュー、動的分析、そして新たにBitcoin Coreコードベースに導入された高度なファジング技術の組み合わせを使用しました。結果は安心できるものでした。
今後の展望
監査人は2つの低重要度の問題と13の情報提供の推奨を特定しましたが、いずれもBitcoin Coreの内部脆弱性分類においてセキュリティへの影響はありませんでした。Quarkslabは、Bitcoin Coreのアーキテクチャとコード品質が「優れた作業」を示していると指摘しました。さらに、Brinkの進行中のFuzzamotoイニシアチブのような現代的なファジングアプローチは、将来のテストサイクルでさらに深いエッジケースを発見する可能性があります。
完全な報告書とサポート資料はQuarkslabのリポジトリで公開されており、Bitcoinの最も重要なソフトウェアにとって新たな透明性の時代を迎えています。監査の対象となったのは、主にP2P層、さらにmempool、コンセンサス、チェーン管理ロジックです。
