Eine Gruppe von Bitcoin Core-Entwicklern hat eine Offenlegungsrichtlinie für „kritische Fehler“ eingeführt, die darauf abzielt, Sicherheitslücken bei Bitcoin effektiver zu kommunizieren.

„Das Projekt hat in der Vergangenheit schlechte Arbeit geleistet, wenn es darum ging, sicherheitskritische Fehler öffentlich zu machen, egal ob sie extern gemeldet oder von Mitwirkenden gefunden wurden“, schrieben der Bitcoin-Kernentwickler Antoine Poinsot und fünf andere am 3. Juli an die Mitglieder der Bitcoin Development Mailing List.

Dies hat zu einer Situation geführt, in der Bitcoin-Benutzer zu der Annahme verleitet werden, Bitcoin Core sei fehlerfrei, doch Poinsot betonte, dass dies einfach nicht der Fall sei.

„Diese Wahrnehmung ist gefährlich und leider nicht zutreffend.“

Bitcoin Core ist die Software, die Bitcoin-Knotenbetreiber herunterladen, um auf die Bitcoin-Blockchain zuzugreifen, Transaktionen zu validieren und Blöcke zu erstellen. Sie spielt eine entscheidende Rolle bei der Sicherung von mehr als 1,1 Billionen US-Dollar, die im Bitcoin-Netzwerk gesperrt sind.

Poinsot sagte, die neue Richtlinie würde eine bessere Kommunikation über die Risiken der Ausführung veralteter Versionen von Bitcoin Core ermöglichen und einen standardisierten Offenlegungsprozess bereitstellen, der Forscher stärker dazu anregt, Schwachstellen zu finden und verantwortungsvoll offenzulegen.

„Indem die Sicherheitslücken einem größeren Kreis von Mitwirkenden zugänglich gemacht werden, kann dies dazu beitragen, künftige Lücken zu vermeiden.“

Die neue Offenlegungsrichtlinie kategorisiert Schwachstellen anhand von vier Schweregraden.

Zur ersten Kategorie „niedrig“ zählen Fehler, die schwer auszunutzen sind und nur geringe Auswirkungen haben – wie etwa ein Wallet-Bug, der Zugriff auf den Rechner des Opfers erfordert.

Die zweite Kategorie „mittel“ umfasst Fehler mit begrenzten Auswirkungen, wie etwa Remote-Abstürze des lokalen Netzwerks.

Die letzten beiden Kategorien umfassen Fehler mit einem „hohen“ Schweregrad, der erhebliche Auswirkungen haben könnte, während Fehler der „kritischen“ Schweregradkategorie die Integrität des gesamten Netzwerks bedrohen.

Ein Beispiel für einen kritischen Fehler könnte die Manipulation von Bitcoin Core mit dem Ziel sein, das auf eine Obergrenze begrenzte Bitcoin-Angebot aufzublähen oder einen „Münzdiebstahl“ zu begehen.

Bei leichten, mittleren und schwerwiegenden Fehlern ist eine Offenlegung innerhalb von zwei Wochen nach der Veröffentlichung einer korrigierten Version vorgesehen. Bei kritischen Fehlern wird die Offenlegung von Fall zu Fall entschieden.

Verbunden mit: Befürworter von Bitcoin Ordinals sollten einen neuen Bitcoin-Fork fordern

Die Politik werde in den kommenden Monaten „schrittweise eingeführt“, fügte Poinsot hinzu.

Poinsot merkte an, dass alle in Bitcoin Core Version 0.21.0 und früher behobenen Schwachstellen seit dem 3. Juli offengelegt wurden und dass die Offenlegungen für die Versionen 0.22.0 und 0.23.0 später in diesem Monat und im August erfolgen werden.

Bitcoin Core Version 27.1 ist die neueste übernommene Version.

Die neue Richtlinie erhielt Lob von Bitcoin Core-Entwickler Eric Voskuil:

„Viele andere Projekte waren von dieser Fehleinschätzung betroffen und tatsächlich hat es der Gemeinschaft erheblichen Schaden zugefügt. Ich weiß nicht, was diese Änderung ausgelöst hat, aber ich spreche Ihnen allen meinen Respekt dafür aus, dass Sie sich engagiert haben.“

Magazin: „Bitcoin Layer 2s“ sind eigentlich gar keine L2s: Darum ist das wichtig