銘文於漏洞中創建,卻為比特幣生態帶來新的敘事。
作者:夫如何
原創:Odaily 星球日報
封面:Photo by Pawel Czerwinski on Unsplash
今日,安全公司慢霧創始人余弦在 X 平台發文表示,比特幣序號銘文(Inscription)漏洞 CVE 被美國國家漏洞資料庫(NVD)正式採納,CVSS 漏洞等級評分是 5.3 中危等級(滿分 10 分)。
“銘文這個問題被分配了個 CVE 編號,這是釜底抽薪了,態度鮮明地定性漏洞了。 CVE 編號不是什麼新鮮事,許多安全團隊/個人都可以申請,我們沒太看重這玩意...... 但可能比特幣生態相關角色會看重這個,畢竟 CVE 編號在安全行業是最知名的漏洞證明之一。 ”
雖然余弦一再表示自己也玩(研究)銘文,「感覺銘文會有其他出路,希望看到更優解」。,但「銘文漏洞被官方蓋戳認證」還是在加密社區引起討論。 一些人並不認可這次 NVD 的認證,並表示去中心化的比特幣不應該靠中心化機構來定義。
此前,比特幣核心用戶端 Bitcoin Core 開發人員 Luke Dashjr 就曾表示銘文正在利用 Bitcoin Core 用戶端的一個漏洞向區塊鏈發送垃圾資訊,該漏洞已被分配標識符 CVE-2023-50428 。 不過,加密投資者卻並不買帳,認為 Luke Dashjr 是因為自身偏見通過虛假理由才申請成功 CVE,“這是對公共安全機制的可恥利用”。
對銘文持有者來說,最核心的問題莫過於,NVD 的採納認證是否意味著該漏洞需要被修復,進而影響銘文市場?
一位匿名安全人士告訴 Odaily 星球日報,漏洞認證並不意味著需要被修復,修不修復還是要看 Bitcoin Core 如何思考和執行; 但此舉確實會帶來「比特幣序號銘文是漏洞」的這種定性聲音,畢竟 CVE/NVD 在安全行業或技術行業很有長遠影響力。
“另外需要知道的是,雖然 CVE/NVD 這些漏洞平臺知名度極高,但歷史收錄的無數漏洞並不是都被修復或及時修復。 這種漏洞爭議不是比特幣遇到的特例,平常心對待即可。 ”
另外,該安全人士表示,雖然 CVSS 將該漏洞評分為 5.3 中危等級,並並不意味著這會威脅到整個區塊鏈的安全性。 “CVSS 是行業非常知名的漏洞評分標準甚至是頂流標準,最高分 10 分, 5.3 這個等級已經很說明問題了。 中危,不是高危更不是嚴重。 比特幣這個中危漏洞不修復並不會帶來多大影響或者短期內看不到多大影響,比特幣序號銘文(包括那些 BRC-20)只要正在交易或鏈上活動就是在利用這個漏洞,在 Luke Dashjr 的眼裡這是帶來了 Spam 攻擊。 Spam 也就是垃圾,僅此而已,但是不是垃圾,這話題仁者見仁,所以說很有爭議。 ”
餘弦也在社交媒體發表看法稱:「CVE 漏洞不代表都一定會或有必要修復,尤其是漏洞評分等級不高的,比如比特幣序號漏洞的 5.3 分中危等級,從細節上看,影響最終分數有眾多指標,其中有的指標是 0 分,lmpact 這個」影響 “ 指標也才 1.4 分。 如果是這種情況,最終修復與否還真要看 Bitcoin Core 的態度,修復後執行與否還得看礦商的態度。 ”
目前,加密社區對銘文「漏洞」一事依然爭論不休,這次引入 NVD 採納認證無疑再次激化了雙方矛盾。 站在開發人員的角度來看,系統中產生漏洞,並對其修復是再正常不過的現象,無論此漏洞處於何種重要程度。 但對於利用此漏洞的銘文生態來說,特別是眾多利益相關者,這無疑是在「斷人財路」。
如今銘文正為比特幣生態帶來新的敘事與活力,期待開發者與生態建設者能早日協商統一意見,找到一個最優解。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。