O Bitcoin Core concluiu sua primeira auditoria de segurança conduzida por uma empresa externa, com resultados que confirmam que o software que protege a maior rede descentralizada do mundo é altamente maduro.
A revisão, realizada pela empresa francesa de segurança Quarkslab e encomendada pela OSTIF em nome da Brink, examinou os componentes mais sensíveis do projeto, especialmente a camada peer-to-peer (P2P) e a lógica de validação de blocos, ao longo de um período de 104 dias, entre maio e setembro.
Segundo o relatório, a base de código do Bitcoin Core é “a mais madura e bem testada” já avaliada pelos auditores, apesar do tamanho, mais de 200.000 linhas de C++ e mais de 1.200 testes já existentes.
A equipe não encontrou vulnerabilidades de gravidade alta ou média. Foram identificados apenas dois problemas de baixa gravidade e uma série de sugestões de melhorias, principalmente relacionadas a ferramentas de fuzzing e cobertura de testes. Nenhum dos achados teve impacto sobre consenso, resiliência a negação de serviço ou validação de transações.
Auditores não encontram falhas exploráveis
A auditoria deu foco especial à camada de rede P2P do Bitcoin, o componente responsável por retransmitir blocos, transações e descoberta de peers em cerca de 125 conexões por nó. Os revisores não encontraram casos em que dados maliciosos pudessem contornar a validação ou o mecanismo de banimento projetado para isolar peers mal-comportados.
A equipe também analisou a lógica do mempool, as transições de estado da cadeia e o tratamento de reorganizações, áreas em que bugs sutis poderiam criar interrupções em toda a rede. Nenhum caminho explorável foi identificado nessas áreas.
“Nenhuma questão de segurança significativa foi identificada. A maioria das recomendações se concentra no aprimoramento das ferramentas de fuzzing para melhorar ainda mais sua eficácia e cobertura”, concluiu o relatório.
Debate entre Bitcoin Core e Knots
A auditoria ocorre em meio à recente disputa entre apoiadores do Bitcoin Core e do Bitcoin Knots. O debate, que dura meses e foi desencadeado pela atualização Bitcoin Core v30, gira em torno de permitir ou não dados não financeiros na blockchain, com críticos alertando que as mudanças poderiam “abrir as comportas” para spam.
Os defensores do Knots argumentam que filtrar esses dados é necessário para impedir que conteúdos ilegais ou antiéticos sejam incorporados ao ledger do Bitcoin. Os desenvolvedores do Bitcoin Core, porém, afirmam que impor restrições prejudicaria a coesão da rede, confundiria os usuários e iria contra os princípios fundamentais de abertura e neutralidade da tecnologia.
Segundo o chefe de pesquisa da Galaxy Digital, Alex Thorn, a maioria dos investidores institucionais de Bitcoin (BTC) parece indiferente à disputa. Com base em sua pesquisa com 25 clientes institucionais, 46% não estavam cientes dela, 36% disseram não se importar e os 18% restantes ficaram todos do lado do Bitcoin Core.