Liệu lỗ hổng CVE đang được NVD Hoa Kỳ thông qua có gây ra sự sụp đổ của hệ sinh thái khắc chữ? "Sinh thái BTC"

Bản gốc | Odaily

Tác giả | Chồng thế nào

Hôm nay, Yu Sine, người sáng lập công ty bảo mật Slowmist, đã đăng trên nền tảng X rằng lỗ hổng BTC Inion CVE đã chính thức được Cơ sở dữ liệu lỗ hổng quốc gia (NVD) thông qua và xếp hạng lỗ hổng CVSS là 5,3 rủi ro trung bình (trên 10).

"Vấn đề chữ khắc đã được gán một số CVE, đó là một cống thoát nước từ đáy ấm, và thái độ rõ ràng là một sơ hở. Số CVE không có gì mới, nhiều nhóm / cá nhân bảo mật có thể đăng ký chúng và chúng tôi không chú ý nhiều đến điều này… Nhưng có lẽ BTC tác nhân liên quan đến hệ sinh thái sẽ đánh giá cao điều này, xét cho cùng, số CVE là một trong những bằng chứng nổi tiếng nhất về lỗ hổng trong ngành bảo mật. "

Mặc dù Cosine đã nhiều lần nói rằng anh ấy cũng chơi (nghiên cứu) chữ khắc, “Tôi cảm thấy rằng sẽ có những cách khác để thoát khỏi chữ khắc và tôi hy vọng sẽ thấy một giải pháp tốt hơn”, “lỗ hổng khắc chữ được đóng dấu và chứng nhận chính thức” vẫn gây ra cuộc thảo luận trong cộng đồng tiền điện tử. Một số người không tán thành sự công nhận của NVD và nói rằng BTC phi tập trung không nên được xác định bởi một cơ quan tập trung.

(Ảnh chụp màn hình tweet của Cosine)

Trước đó, Luke Dashjr, nhà phát triển của khách hàng cốt lõi BTC, Bitcoin Core, nói rằng dòng chữ đang sử dụng một lỗ hổng trong máy khách Bitcoin Core để spam blockchain, đã được gán mã định danh CVE-2023-50428. Tuy nhiên, các nhà đầu tư tiền điện tử không mua nó, lập luận rằng ứng dụng CVE thành công của Luke Dashjr dựa trên sự thiên vị và lý do sai lầm của chính anh ta, đó là “việc sử dụng đáng xấu hổ các cơ chế an toàn công cộng”.

(Ảnh chụp màn hình tweet của Luke Dashjr)

Câu hỏi cốt lõi cho những người nắm giữ dòng chữ là, việc áp dụng chứng nhận NVD có nghĩa là lỗ hổng cần phải được khắc phục, từ đó sẽ ảnh hưởng đến thị trường chữ khắc?

Một nguồn tin bảo mật ẩn danh nói với Odaily rằng xác thực lỗ hổng không có nghĩa là nó cần phải được sửa chữa và việc nó có được sửa hay không phụ thuộc vào cách Bitcoin Core suy nghĩ và thực thi; Nhưng điều này dẫn đến định tính “BTC dòng chữ nối tiếp là một lỗ hổng”, xét cho cùng, CVE / NVD có ảnh hưởng lâu dài trong ngành bảo mật hoặc ngành công nghệ.

"Điều quan trọng cần biết là mặc dù các nền tảng lỗ hổng CVE / NVD cực kỳ nổi tiếng, nhưng không phải tất cả vô số lỗ hổng được ghi lại trong lịch sử đều được khắc phục hoặc sửa chữa kịp thời. Loại tranh cãi về lỗ hổng này không phải là một trường hợp đặc biệt mà BTC gặp phải, và nó có thể được điều trị bằng một trái tim bình thường. "

Ngoài ra, nguồn tin bảo mật cho biết mặc dù CVSS đánh giá lỗ hổng là 5,3 vừa phải, nhưng điều đó không có nghĩa là nó đe dọa tính bảo mật của toàn bộ blockchain. "CVSS là một tiêu chuẩn chấm điểm lỗ hổng rất nổi tiếng trong ngành, và thậm chí là tiêu chuẩn hàng đầu, với điểm tối đa là 10 và xếp hạng 5,3 là điều đáng nói. Nguy cơ trung bình, nguy cơ không cao, không nghiêm trọng. BTC lỗ hổng rủi ro trung bình này sẽ không có nhiều tác động nếu nó không được khắc phục hoặc sẽ không có nhiều tác động trong ngắn hạn, BTC các dòng chữ số sê-ri (bao gồm cả BRC-20) đang khai thác lỗ hổng này miễn là chúng đang giao dịch hoặc hoạt động trên chuỗi, mà trong mắt Luke Dashjr đang mang lại một cuộc tấn công spam. Spam là rác, vậy thôi, nhưng nó không phải là rác, và đó là một chủ đề mà mọi người phải nói, vì vậy nó rất gây tranh cãi. "

Cosine cũng bày tỏ quan điểm của mình trên mạng xã hội, nói rằng: "Các lỗ hổng CVE không nhất thiết có nghĩa là chúng sẽ được khắc phục hoặc cần thiết, đặc biệt nếu điểm dễ bị tổn thương không cao, chẳng hạn như mức độ rủi ro trung bình 5,3 của lỗ hổng số BTC, từ chi tiết, có nhiều chỉ số ảnh hưởng đến điểm số cuối cùng, một số trong đó là 0 điểm và chỉ số “tác động” của lmpact chỉ là 1,4 điểm. Nếu đây là trường hợp, nó thực sự phụ thuộc vào thái độ của Bitcoin Core cho dù nó sẽ được sửa chữa hay không, và liệu nó sẽ được thực hiện sau khi sửa chữa hay không phụ thuộc vào thái độ của các thợ đào. "

(Chấm điểm lỗ hổng bảo mật dòng chữ)

Hiện tại, cộng đồng tiền điện tử vẫn đang tranh luận về “lỗ hổng” của dòng chữ và việc giới thiệu chứng nhận áp dụng NVD chắc chắn đã làm trầm trọng thêm xung đột giữa hai bên một lần nữa. Từ quan điểm của nhà phát triển, việc một lỗ hổng được tạo ra trong một hệ thống và được sửa chữa cho nó là điều bình thường, bất kể nó quan trọng như thế nào. Tuy nhiên, đối với hệ sinh thái khắc chữ khai thác lỗ hổng này, đặc biệt là đối với nhiều bên liên quan, đây chắc chắn là “cắt tiền của người dân”.

Ngày nay, dòng chữ đang mang lại một câu chuyện và sức sống mới cho hệ sinh thái BTC, và dự kiến các nhà phát triển và nhà xây dựng sinh thái có thể đàm phán và thống nhất càng sớm càng tốt để tìm ra giải pháp tối ưu.