Quarkslab menyelesaikan audit pihak ketiga publik pertama Bitcoin Core: tidak ditemukan kerentanan besar.

Perusahaan keamanan siber Quarkslab telah menyelesaikan audit keamanan pihak ketiga publik pertama dari kode sumber inti Bitcoin. Kode sumber inti Bitcoin adalah implementasi referensi sumber terbuka yang mendukung jaringan Bitcoin, yang mencakup klien Full Node, antarmuka pengguna grafis (GUI), dan Dompet tersemat.

Menurut pengumuman yang dirilis pada hari Rabu, evaluasi selama empat bulan ini didanai oleh organisasi nirlaba Brink yang mendukung pengembangan protokol Bitcoin sumber terbuka, dan dikoordinasikan oleh (OSTIF). Evaluasi ini berfokus pada lapisan jaringan peer-to-peer (permukaan serangan utama dari jaringan) serta komponen terkait, termasuk manajemen mempool, status rantai, validasi transaksi, dan logika konsensus.

Audit ini selesai pada bulan September, yang dilakukan oleh tiga insinyur Quarkslab selama 100 hari kerja, dan didukung secara teknis oleh Brink dan perusahaan pengembangan Bitcoin Chaincode Labs. Sebelum memulai tinjauan kode, dua auditor melakukan komunikasi tatap muka dengan insinyur Brink untuk memahami arsitektur dan praktik pengembangan inti Bitcoin.

Proses ini menggabungkan analisis kode manual, pengujian dinamis, serta teknik pengujian fuzzing tingkat lanjut yang dipinjam dari alur kerja integrasi berkelanjutan yang ada di Bitcoin. Pengujian fuzzing adalah teknik pengujian perangkat lunak otomatis yang mencoba menemukan kerentanan dengan memberikan sejumlah besar data yang tidak terduga, acak, atau salah format ke dalam kode.

Brink dalam artikel lain menunjukkan bahwa tujuan dari langkah ini bukan untuk mengautentikasi Bitcoin Core, tetapi “secara aktif mencari celah, meningkatkan metode pengujian, dan menemukan cara yang praktis untuk memperkuat basis kode.”

Quarkslab melaporkan bahwa tidak ada masalah serius, berisiko tinggi, atau tingkat keparahan sedang yang ditemukan. Auditor memang menemukan dua masalah berisiko rendah dan memberikan 13 saran informatif, tetapi masalah ini tidak memenuhi standar klasifikasi kerentanan keamanan Bitcoin Core.

Quarkslab menyatakan: “Meskipun tidak ditemukan masalah yang berdampak signifikan, tetapi kerangka pengujian yang ada serta kerangka baru untuk mencakup skenario yang belum diuji seperti restrukturisasi rantai telah mengalami perbaikan.” OSTIF menambahkan: “Meskipun audit ini tidak menemukan masalah yang signifikan, berisiko tinggi, atau berisiko sedang, tetapi ini memberikan umpan balik, wawasan, informasi, dan saran perbaikan pengujian yang berharga untuk Bitcoin.” (The Block)