Foto: Shutterstock
Die Software des Bitcoin (BTC)-Netzwerks hat erstmals eine echte Sicherheitsprüfung bestanden.
Vier Monate lang tauchten Forscher der Cybersicherheitsfirma Quarkslab in den Code von Bitcoin Core, der meistgenutzten Software des Bitcoin-Netzwerks, mit dem Ziel, Schwachstellen zu entdecken. Nachfolgend ihre Ergebnisse.
Sicherheitsprüfung von Bitcoin Core
Insgesamt widmeten drei Cybersicherheits-Experten von Quarkslab rund 100 Arbeitstage der Prüfung.
Der Ansatz kombinierte eine manuelle Inspektion des Codes mit fortschrittlichen und automatisierten Tests, bei denen versucht wurde, die Software mit großen Mengen unerwarteter oder fehlerhafter Daten zu überlasten – in Fachsprache nennt man das Fuzzing.
Die Prüfung wurde von der Non-Profit-Organisation Brink finanziert und vom Open Source Technology Improvement Fund (OSTIF) koordiniert.
Am Mittwoch wurde der Prüfbericht veröffentlicht. Es handelt sich laut Brink um die erste echte öffentliche Sicherheitsprüfung der Software:
„Diese Arbeit stellt die erste öffentliche Prüfung durch eine Drittpartei von Bitcoin Core dar.“
Das Ziel war nicht, Bitcoin Core ein offizielles Sicherheitslabel zu verleihen, erklärt Brink, sondern Schwachstellen und mögliche Verbesserungen zu identifizieren:
„Bitcoin Core ist die führende Implementierung, die das Bitcoin-Netzwerk antreibt und hilft, Billionen von Dollar an Wert zu sichern.
Je mehr unabhängige, sicherheitsorientierte Forscher ihre eigenen Perspektiven beitragen, desto besser.“
Erfolgreiche Prüfung
Die Prüfung wurde erfolgreich abgeschlossen und Quarkslab fand keine schwerwiegenden Probleme. Im Bericht werden lediglich zwei Befunde mit geringem Risiko und dreizehn informative Empfehlungen aufgeführt.
Keine davon stellt laut Quarkslab eine ernsthafte Bedrohung dar oder hat Auswirkungen auf die Sicherheit von Bitcoin. Als Folge der Prüfung wurde jedoch die interne Test-Infrastruktur von Bitcoin Core leicht verbessert. Quarkslab schreibt im Bericht:
„Es wurden keine Probleme mit hoher Auswirkung gefunden, aber es wurden marginale Verbesserungen an den bestehenden Fuzzing-Harnesses erreicht, und es gibt neue Varianten, um ungetestete Szenarien abzudecken, wie etwa Chain Reorganizations.“
Der erfolgreiche Abschluss der Prüfung entspricht der vorherrschenden Meinung über die Sicherheit von Bitcoin. Das Netzwerk wurde noch nie erfolgreich angegriffen und weist eine Uptime von 99,99 Prozent auf.
Auch die Kryptografie wurde bisher nie gebrochen. Dennoch wachsen die Sorgen über das Aufkommen von Quantencomputern und deren potenzielles Sicherheitsrisiko.
