Ciao Insiders. Qui è Tuma, open-source reporter per l’Insider Edition. Ho passato più di 10 ore ad ascoltare gli sviluppatori di vari progetti open-source legati a Bitcoin. Ecco cosa mi è piaciuto di più:

• Una vulnerabilità nel Protocollo Cashu è stata divulgata responsabilmente dallo sviluppatore Conduition.

  • Sabato 10, lo sviluppatore Conduition ha pubblicato su Stacker News un articolo in cui spiega le sue scoperte relative a una vulnerabilità presente nella maggior parte delle mint e dei wallet Cashu. Sebbene le scoperte di Conduition risalgano a luglio 2025, il possibile exploit è stato segnalato responsabilmente prima al team di Cashu, rendendolo pubblico solo la scorsa settimana, dopo che le patch sono state applicate al codice.

  • La vulnerabilità risiede nella specifica NUT-13, che descrive uno standard di backup deterministico per i wallet Cashu. Per generare il secret per un token ecash, il wallet prende il Keyset ID (un identificatore unico di una mint) e lo riduce a un numero più piccolo per adattarlo a un intero a 32 bit, conforme al formato BIP32. Poiché lo spazio dei numeri è limitato (circa 2 miliardi di possibilità), un attaccante malintenzionato potrebbe facilmente creare una mint fittizia con un nome diverso ma un Keyset ID che risulta nell’esatto stesso ID derivato di una mint popolare e legittima, inducendo un utente a rivelare i propri secret.

  • Una patch a breve termine è già stata applicata ai wallet e alle mint più importanti per prevenire lo sfruttamento della vulnerabilità. Nel frattempo, gli sviluppatori stanno lavorando alla modifica delle specifiche NUT-13, passando ad una nuova versione del Keyset ID basata sulla derivazione HMAC-SHA256.

• Un aggiornamento sul protocollo Marmot: Stato dell’audit e ultimi sviluppi.

  • Durante la call mensile di martedì 6, gli sviluppatori di Marmot hanno fornito un aggiornamento sullo stato del protocollo, sui feedback riguardanti l’audit in corso e sugli ultimi sviluppi.

  • Per quanto riguarda l’audit, la società indipendente incaricata ha terminato la revisione delle specifiche, fornendo alcuni suggerimenti per migliorare la crittografia dei media. Le modifiche sono già state applicate. Gli auditor sono poi passati alla codebase di MDK, identificando circa 45 vulnerabilità nel codice, che stanno già venendo affrontate dagli sviluppatori di Marmot.

  • Nel frattempo, procede lo sviluppo di marmot-ts. Gli sviluppatori stanno implementando la libreria TypeScript funzionalità per funzionalità seguendo le specifiche del protocollo. I progressi possono essere verificati sul sito web di esempio.

• La PR1459 in CDK sta aggiungendo una funzionalità per il backup della lista delle mint del wallet tramite Nostr.

  • Durante la call settimanale di mercoledì 7, gli sviluppatori di CDK hanno discusso la PR1459, che introduce una nuova funzionalità che consente agli utenti di fare il backup della lista delle mint del proprio wallet su Nostr. La PR si basa sulla specifica NUT-27, recentemente integrata.

  • Secondo le specifiche, la lista delle mint viene crittografata utilizzando NIP-44 e pubblicata come un evento Nostr di tipo “replaceable” su uno o più relay definiti dall’utente. Le chiavi di backup sono derivate in modo deterministico dalla seed phrase mnemonica del wallet.

  • Perchè è interessante: Questa funzionalità consente agli utenti di ripristinare in maniera semplice la configurazione delle proprie mint su diversi dispositivi o istanze del wallet utilizzando la propria seed phrase mnemonica.

Vorresti conoscere gli sviluppatori di Bitcoin di persona? Unisciti a noi a Florianopolis questo Febbraio, dal 26 al 28, per discutere di come fare exploit su Bitcoin.