网络安全公司Quarkslab已完成比特币核心代码库的首次公开第三方安全审计——这是支撑比特币网络的开源参考实现，包括全节点客户端、图形用户界面和嵌入式钱包。

这项为期四个月的评估由支持开源比特币协议开发的非营利组织Brink资助，并由开源技术改进基金（OSTIF）协调，重点关注点对点网络层——网络的主要攻击面——以及相关组件，包括内存池管理、链状态、交易验证和共识逻辑，具体内容在周三的公告中提到。

审计于九月完成，总共耗费了三名Quarkslab工程师100个工作日，Brink和比特币研究与开发公司Chaincode Labs提供了技术支持。在代码审查开始之前，两名审计员与Brink工程师面对面合作，以熟悉比特币核心的架构和开发实践。

该过程结合了手动代码分析、动态测试和从比特币现有持续集成工作流程中提取的高级模糊测试技术。模糊测试是一种自动化软件测试技术，试图通过输入大量意外、随机或格式错误的数据来破坏代码。

目标不是认证比特币核心，而是“积极寻找漏洞，改进测试方法，并识别加强代码库的实际方法，”Brink在另一篇文章中指出。

Quarkslab报告没有发现关键、高或中等严重性的问题。审计员确实识别出两个低严重性问题，并提供了13条信息性建议，这些建议在比特币核心的分类标准下均不符合安全漏洞的定义。

“没有发现高影响的问题，但现有的模糊测试工具和新的模糊测试工具在覆盖未测试场景（如链重组）方面带来了边际收益，”Quarkslab表示。

“虽然在此次审计中没有发现具有关键、高或中等安全影响的结果，但这次审计为比特币提供了有价值的反馈、见解、信息和测试改进，”OSTIF补充道。

结果进一步巩固了比特币核心作为一个成熟且保守设计的系统的长期观点，该系统由数十名贡献者维护，并经过多个组织的审查。尽管评估集中在代码库的一个特定子集上，但独立审查在未来可能再次具有价值，特别是对于即将发布的新组件，这些公司指出。

“比特币核心是支撑比特币网络的参考实现，帮助保护数万亿美元的价值，”Brink表示。“该项目有着强大的安全记录，但从未进行过外部安全评估。带来独特视角的独立安全审查者越多，效果越好。”

此次审计正值关于比特币加密假设的长期量子威胁的讨论再度升温。比特币与大多数主要区块链一样，依赖于椭圆曲线数字签名，这在经典攻击下是安全的，但在理论上对未来的大规模量子计算机上的Shor算法是脆弱的。

如果椭圆曲线密码学被攻破，私钥可以直接从暴露的公钥中推导出来——不是通过暴力猜测，这仍然是不可行的，而是通过量子算法启用的数学捷径。研究人员继续讨论后量子升级可能变得必要的时间表，估计范围从几年到几十年不等，这促使对迁移路径的持续探索，以保护一旦公钥被揭示后的资金。

以“bc1q”开头的原生SegWit比特币地址格式被认为对量子攻击更具抵抗力，因为在资金未被花费之前，它们不会揭示公钥。链上仅可见哈希公钥，这对量子计算机的攻击将更加困难。

这意味着存储在这些地址上的资金在从未被花费且公钥未被其他方式暴露的情况下，仍然受到量子密钥恢复攻击的保护。然而，一旦发生支出，公钥将变得可见，与该地址相关的任何剩余资金将继承相同的脆弱性——这进一步强化了避免地址重用和在支出时转移全部余额的长期指导。

比特币核心的审查还跟随了比特币生态系统内关于客户端多样性以及比特币核心与Knots之间关系的近期辩论——Knots是一个衍生实现，维护在上个月核心最新v30版本中修改的某些政策和配置选项。这场常常激烈的辩论突显了关于比特币应如何在其软件堆栈中平衡保守主义、选择性和去中心化的不同观点。

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于其他公司在加密领域。加密交易所Bitget是Foresight Ventures的主要有限合伙人。The Block继续独立运营，提供关于加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。

© 2025 The Block. 保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。