Invezz

Los desarrolladores de Bitcoin Core implementan una nueva política de divulgación de errores

Los desarrolladores de Bitcoin Core implementan una nueva política de divulgación de errores
Rony Roy
04 jul 2024, 09:26 A. M.
  • La política introduce procedimientos estándar para informar y categorizar vulnerabilidades según su gravedad.
  • Su objetivo es corregir la idea errónea de que Bitcoin Core está libre de errores.
  • La nueva política de divulgación se adoptará gradualmente.

Los desarrolladores de Bitcoin Core han implementado una nueva política de divulgación de seguridad. La política establecerá medidas estandarizadas de presentación de informes para informar vulnerabilidades.

Bitcoin Core es un software para operadores de nodos de Bitcoin que se utiliza para validar transacciones y crear bloques. La aplicación juega un papel crucial en la seguridad de la cadena de bloques de Bitcoin.

Más transparencia

Antoine Poinsot, un desarrollador central de Bitcoin, junto con otras cinco personas, señaló en un correo electrónico que Bitcoin Core "históricamente ha hecho un mal trabajo al revelar públicamente errores críticos de seguridad".

Esto crea una idea errónea entre los usuarios de Bitcoin de que Bitcoin Core está libre de errores. Sin embargo, los desarrolladores creen que ese no es el caso y que esta "percepción" es inexacta y "peligrosa".

Las divulgaciones de seguridad son el proceso mediante el cual los desarrolladores e investigadores externos informan sobre las lagunas en un sistema a la organización afectada. Esta noción es bastante similar a los programas de recompensas por errores.

El proceso de divulgación generalmente implica detectar una vulnerabilidad, informarla de manera confidencial, verificar que la vulnerabilidad y luego revelarla públicamente se alinea con los detalles.

Como parte de la nueva política, las vulnerabilidades en la red se clasifican según su gravedad.

Tres categorizaciones principales de vulnerabilidades

Los errores de baja gravedad incluyen aquellos que tienen un impacto mínimo en la red. Estos errores deben divulgarse después de que se publique una solución. Por ejemplo, un error de billetera que requiere acceso físico a un sistema se clasificaría en esta categoría.

Los errores de gravedad media a alta se revelarían un año después de que la última versión afectada llegue al final de su vida útil (EOL). Estos incluirían errores con impacto limitado, como fallas remotas de la red local.

Finalmente, los errores críticos que plantean riesgos importantes para la red se manejarían mediante procedimientos ad hoc debido a su naturaleza grave. Estos errores tienden a amenazar la integridad de la red.

A lo largo de los años, la red Bitcoin ha experimentado múltiples problemas de seguridad, denominados vulnerabilidades y exposiciones comunes (CVE).

Por ejemplo, CVE-2012-2459 permitiría a los atacantes crear bloques no válidos que parecieran válidos. Mientras tanto, CVE-2018-17144 permitió a los atacantes crear Bitcoins adicionales fuera del límite de suministro fijo de la red.

Según Poinsot, la nueva política facilitará una mejor comunicación sobre los riesgos de ejecutar una versión desactualizada del protocolo central de Bitcoin.

Añadió que hacer que estos errores estén disponibles para un grupo más amplio de contribuyentes puede "ayudar a prevenir errores futuros".

La política actualizada ha sido elogiada por el desarrollador Eric Voskuil, quien escribió:

A partir de ahora, Poinsot agregó que se han revelado todas las vulnerabilidades solucionadas en las versiones 0.21.0 y anteriores de Bitcoin Core. Las divulgaciones de las versiones 0.22.0 y 0.23.0 están programadas para julio y agosto.

Los nuevos cambios se “adoptarán gradualmente” en los próximos meses, añadió.