Um grupo de desenvolvedores do Bitcoin Core lançou uma política de divulgação de “bug crítico” com o objetivo de comunicar de forma mais eficaz as vulnerabilidades de segurança do Bitcoin.
“Historicamente, o projeto tem feito um péssimo trabalho na divulgação pública de bugs críticos de segurança, seja reportados externamente ou encontrados por colaboradores,” escreveram o desenvolvedor do Bitcoin Core Antoine Poinsot e outros cinco membros na Lista de Discussão de Desenvolvimento do Bitcoin em 3 de julho.
Isso levou a uma situação em que os usuários do Bitcoin são levados a acreditar que o Bitcoin Core está livre de bugs, mas Poinsot enfatizou que esse não é o caso.
“Essa percepção é perigosa e, infelizmente, não precisa ser verdadeira.”
O Bitcoin Core é o software que os operadores de nós do Bitcoin baixam para acessar a blockchain do Bitcoin, validar transações e construir blocos. Ele desempenha um papel crucial na segurança de mais de US$ 1,1 trilhão bloqueados na rede Bitcoin.
Poinsot disse que a nova política permitiria uma melhor comunicação sobre o risco de executar versões desatualizadas do Bitcoin Core e forneceria um processo de divulgação padronizado que daria aos pesquisadores mais incentivo para encontrar e divulgar vulnerabilidades de forma responsável.
“Tornar os bugs de segurança disponíveis para o grupo mais amplo de colaboradores pode ajudar a prevenir futuros problemas.”
A nova política de divulgação categorizará as vulnerabilidades com base em quatro níveis de severidade.
A primeira categoria, “baixa”, inclui bugs que são difíceis de explorar e têm baixo impacto, como um bug de carteira que requer acesso à máquina da vítima.
A segunda categoria, “média”, são bugs com impacto limitado, como falha remota de rede local.
As duas últimas categorias incluem bugs de “alta” severidade que podem ter impacto significativo, enquanto a severidade “crítica” são aqueles que ameaçam a integridade de toda a rede.
Um exemplo de bug crítico poderia envolver a manipulação do Bitcoin Core para inflar a oferta limitada de Bitcoin ou cometer um “roubo de moedas”.
Bugs de baixa, média e alta severidade serão divulgados duas semanas após uma versão corrigida ser lançada, enquanto as divulgações para bugs críticos serão determinadas caso a caso.
A política será “gradualmente adotada” nos próximos meses, acrescentou Poinsot.
Poinsot observou que todas as vulnerabilidades corrigidas nas versões 0.21.0 e anteriores do Bitcoin Core foram divulgadas a partir de 3 de julho, e as divulgações para as versões 0.22.0 e 0.23.0 serão divulgadas ainda este mês e em agosto.
A versão mais recente do Bitcoin Core adotada é a 27.1.
A nova política recebeu elogios do desenvolvedor do Bitcoin Core, Eric Voskuil:
“Muitos outros projetos têm sido alvo dessa percepção equivocada, e isso de fato causou danos materiais à comunidade. Eu não sei o que precipitou essa mudança, mas parabéns a todos vocês por tomarem essa iniciativa.”