原创 | Odaily星球日报
作者 | 夫如何
今日,安全公司慢雾创始人余弦在 X 平台发文表示,比特币序号铭文(Inscription)漏洞 CVE 被美国国家漏洞数据库(NVD)正式采纳,CVSS 漏洞等级评分是 5.3 中危等级(满分 10 分)。
“铭文这个问题被分配了个 CVE 编号,这是釜底抽薪了,态度鲜明地定性漏洞了。CVE 编号不是什么新鲜事,许多安全团队/个人都可以申请,我们没太看重这玩意……但可能比特币生态相关角色会看重这个,毕竟 CVE 编号在安全行业是最知名的漏洞证明之一。”
虽然余弦一再表示自己也玩(研究)铭文,“感觉铭文会有其他出路,希望看到更优解”,但「铭文漏洞被官方盖戳认证」还是在加密社区引起讨论。一些人并不认可这次 NVD 的认证,并表示去中心化的比特币不应该靠中心化机构来定义。
(余弦推文截图)
此前,比特币核心客户端 Bitcoin Core 开发人员 Luke Dashjr 就曾表示铭文正在利用 Bitcoin Core 客户端的一个漏洞向区块链发送垃圾信息,该漏洞已被分配标识符 CVE-2023-50428 。不过,加密投资者却并不买账,认为 Luke Dashjr 是因为自身偏见通过虚假理由才申请成功 CVE,“这是对公共安全机制的可耻利用”。
(Luke Dashjr 推文截图)
对铭文持有者来说,最核心的问题莫过于,NVD 的采纳认证是否意味着该漏洞需要被修复,进而影响铭文市场?
一位匿名安全人士告诉Odaily星球日报,漏洞认证并不意味着需要被修复,修不修复还是要看 Bitcoin Core 如何思考和执行;但此举确实会带来“比特币序号铭文是漏洞”的这种定性声音,毕竟 CVE/NVD 在安全行业或技术行业很有长远影响力。
“另外需要知道的是,虽然 CVE/NVD 这些漏洞平台知名度极高,但历史收录的无数漏洞并不是都被修复或及时修复。这种漏洞争议不是比特币遇到的特例,平常心对待即可。”
另外,该安全人士表示,虽然 CVSS 将该漏洞评分为 5.3 中危等级,并并不意味着这会威胁到整个区块链的安全性。“CVSS 是行业非常知名的漏洞评分标准甚至是顶流标准,最高分 10 分, 5.3 这个等级已经很说明问题了。中危,不是高危更不是严重。比特币这个中危漏洞不修复并不会带来多大影响或者短期内看不到多大影响,比特币序号铭文(包括那些 BRC-20)只要正在交易或链上活动就是在利用这个漏洞,在 Luke Dashjr 的眼里这是带来了 Spam 攻击。Spam 也就是垃圾,仅此而已,但是不是垃圾,这话题仁者见仁,所以说很有争议。”
余弦也在社交媒体发表看法称:“CVE 漏洞不代表都一定会或有必要修复,尤其是漏洞评分等级不高的,比如比特币序号漏洞的 5.3 分中危等级,从细节上看,影响最终分数有众多指标,其中有的指标是 0 分,lmpact 这个“影响”指标也才 1.4 分。如果是这种情况,最终修复与否还真要看 Bitcoin Core 的态度,修复后执行与否还得看矿商的态度。”
(铭文漏洞评分)
目前,加密社区对铭文「漏洞」一事依然争论不休,这次引入 NVD 采纳认证无疑再次激化了双方矛盾。站在开发人员的角度来看,系统中产生漏洞,并对其修复是再正常不过的现象,无论此漏洞处于何种重要程度。但对于利用此漏洞的铭文生态来说,特别是众多利益相关者,这无疑是在「断人财路」。
如今铭文正为比特币生态带来新的叙事与活力,期待开发者与生态建设者能早日协商统一意见,找到一个最优解。
