銘文於漏洞中創建,卻爲比特幣生態帶來新的敘事。
撰文:夫如何,Odaily 星球日報
今日,安全公司慢霧創始人余弦在X平台發文表示,比特幣序號銘文(Inscription)漏洞CVE被美國國家漏洞數據庫(NVD)正式採納,CVSS漏洞等級評分是5.3中危等級(滿分10分)。
「銘文這個問題被分配了個 CVE 編號,這是釜底抽薪了,態度鮮明地定性漏洞了。CVE 編號不是什么新鮮事,許多安全團隊 / 個人都可以申請,我們沒太看重這玩意……但可能比特幣生態相關角色會看重這個,畢竟 CVE 編號在安全行業是最知名的漏洞證明之一。」
雖然余弦一再表示自己也玩(研究)銘文,「感覺銘文會有其他出路,希望看到更優解」,但「銘文漏洞被官方蓋戳認證」還是在加密社區引起討論。一些人並不認可這次NVD 的認證,並表示去中心化的比特幣不應該靠中心化機構來定義。
(余弦推文截圖)
此前,比特幣核心客戶端BitcoinCore 开發人員Luke Dashjr就曾表示銘文正在利用 Bitcoin Core 客戶端的一個漏洞向區塊鏈發送垃圾信息,該漏洞已被分配標識符 CVE-2023-50428。不過,加密投資者卻並不买账,認爲Luke Dashjr 是因爲自身偏見通過虛假理由才申請成功 CVE,「這是對公共安全機制的可恥利用」。
(Luke Dashjr推文截圖)
對銘文持有者來說,最核心的問題莫過於,NVD 的採納認證是否意味着該漏洞需要被修復,進而影響銘文市場?
一位匿名安全人士告訴 Odaily 星球日報,漏洞認證並不意味着需要被修復,修不修復還是要看 Bitcoin Core如何思考和執行;但此舉確實會帶來「比特幣序號銘文是漏洞」的這種定性聲音,畢竟CVE/NVD在安全行業或技術行業很有長遠影響力。
「另外需要知道的是,雖然CVE/NVD這些漏洞平台知名度極高,但歷史收錄的無數漏洞並不是都被修復或及時修復。這種漏洞爭議不是比特幣遇到的特例,平常心對待即可。」
另外,該安全人士表示,雖然CVSS 將該漏洞評分爲5.3中危等級,並並不意味着這會威脅到整個區塊鏈的安全性。「CVSS是行業非常知名的漏洞評分標准甚至是頂流標准,最高分10分,5.3這個等級已經很說明問題了。中危,不是高危更不是嚴重。比特幣這個中危漏洞不修復並不會帶來多大影響或者短期內看不到多大影響,比特幣序號銘文(包括那些 BRC-20)只要正在交易或鏈上活動就是在利用這個漏洞,在 Luke Dashjr 的眼裏這是帶來了 Spam 攻擊。Spam 也就是垃圾,僅此而已,但是不是垃圾,這話題仁者見仁,所以說很有爭議。」
余弦也在社交媒體發表看法稱:「CVE漏洞不代表都一定會或有必要修復,尤其是漏洞評分等級不高的,比如比特幣序號漏洞的5.3分中危等級,從細節上看,影響最終分數有衆多指標,其中有的指標是0分,lmpact 這個『影響』指標也才1.4分。如果是這種情況,最終修復與否還真要看 Bitcoin Core 的態度,修復後執行與否還得看礦商的態度。」
(銘文漏洞評分)
目前,加密社區對銘文「漏洞」一事依然爭論不休,這次引入NVD 採納認證無疑再次激化了雙方矛盾。站在开發人員的角度來看,系統中產生漏洞,並對其修復是再正常不過的現象,無論此漏洞處於何種重要程度。但對於利用此漏洞的銘文生態來說,特別是衆多利益相關者,這無疑是在「斷人財路」。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。