ต้นฉบับ - โอเดลี่

ผู้เขียน-สามีอย่างไร

วันนี้ โคไซน์ ผู้ก่อตั้งบริษัทรักษาความปลอดภัย SlowMist โพสต์ใน

ปัญหาจารึกได้รับการกำหนดหมายเลข CVE นี่คือท่อระบายน้ำที่ด้านล่างของหม้อและทัศนคติที่ชัดเจนต่อการจำแนกลักษณะของช่องโหว่ หมายเลข CVE นั้นไม่มีอะไรใหม่ ทีมรักษาความปลอดภัย/บุคคลจำนวนมากสามารถสมัครได้ เราไม่ ไม่ได้ใส่ใจกับสิ่งนี้มากนัก... แต่บางทีบทบาท Bit ที่เกี่ยวข้องกับระบบนิเวศของสกุลเงินอาจจะให้ความสำคัญกับสิ่งนี้ ท้ายที่สุดแล้ว หมายเลข CVE เป็นหนึ่งในข้อพิสูจน์ช่องโหว่ที่รู้จักกันดีที่สุดในอุตสาหกรรมความปลอดภัย”

แม้ว่า Yu Xian พูดซ้ำ ๆ ว่าเขาเล่นกับ (วิจัย) จารึกด้วย แต่ ฉันรู้สึกว่าจารึกจะมีวิธีอื่นและฉันหวังว่าจะเห็นวิธีแก้ปัญหาที่ดีกว่า อย่างไรก็ตาม ช่องโหว่ของการจารึกได้รับการประทับตราและรับรองอย่างเป็นทางการ ยังคง ทำให้เกิดการอภิปรายในชุมชนการเข้ารหัส บางคนไม่รู้จักการรับรอง NVD นี้ และกล่าวว่า Bitcoin แบบกระจายอำนาจไม่ควรถูกกำหนดโดยสถาบันแบบรวมศูนย์

(ภาพหน้าจอทวีตของโคไซน์)

ก่อนหน้านี้ Luke Dashjr ผู้พัฒนาไคลเอนต์ Bitcoin Core กล่าวว่า Inscription ใช้ประโยชน์จากช่องโหว่ในไคลเอนต์ Bitcoin Core เพื่อส่งข้อมูลสแปมไปยัง blockchain ช่องโหว่ดังกล่าวได้รับการกำหนดตัวระบุ CVE-2023-50428 อย่างไรก็ตาม นักลงทุน crypto ไม่ได้ซื้อมันและเชื่อว่า Luke Dashjr สมัคร CVE ได้สำเร็จเนื่องจากมีอคติและเหตุผลที่ผิด ๆ “นี่เป็นการใช้กลไกความปลอดภัยสาธารณะที่น่าละอาย”

(ภาพหน้าจอทวีตของ Luke Dashjr)

สำหรับผู้ถือคำจารึก คำถามหลักคือ การนำการรับรอง NVD มาใช้หมายความว่าจำเป็นต้องแก้ไขช่องโหว่ ซึ่งส่งผลกระทบต่อตลาดคำจารึกหรือไม่

แหล่งข่าวด้านความปลอดภัยที่ไม่ระบุชื่อบอกกับ Odaily ว่าการรับรองช่องโหว่ไม่ได้หมายความว่าจำเป็นต้องซ่อมแซม ไม่ว่าจะซ่อมแซมหรือไม่ขึ้นอยู่กับว่า Bitcoin Core คิดและดำเนินการอย่างไร อย่างไรก็ตาม การย้ายครั้งนี้นำไปสู่การจำแนกลักษณะว่า การจารึกหมายเลขซีเรียลของ Bitcoin นั้น ช่องโหว่ อย่างไรก็ตาม CVE/NVD มีอิทธิพลในระยะยาวในอุตสาหกรรมความปลอดภัยหรืออุตสาหกรรมเทคโนโลยี

“อีกสิ่งหนึ่งที่ควรทราบก็คือ แม้ว่าแพลตฟอร์มช่องโหว่ เช่น CVE/NVD จะเป็นที่รู้จักกันดี แต่ไม่ใช่ช่องโหว่ทั้งหมดที่บันทึกไว้ในประวัติศาสตร์ทั้งหมดที่ได้รับการซ่อมแซมหรือซ่อมแซมอย่างทันท่วงที ข้อโต้แย้งเกี่ยวกับช่องโหว่ประเภทนี้ไม่ใช่กรณีพิเศษที่จะพบ ด้วย Bitcoin และก็ถือได้ตามปกติ”

นอกจากนี้ แหล่งข่าวด้านความปลอดภัยกล่าวว่า แม้ว่า CVSS จะจัดอันดับช่องโหว่ดังกล่าวเป็นระดับความรุนแรงปานกลางที่ 5.3 แต่ก็ไม่ได้หมายความว่าจะคุกคามความปลอดภัยของบล็อคเชนทั้งหมด “CVSS เป็นมาตรฐานการให้คะแนนช่องโหว่ที่รู้จักกันดีในอุตสาหกรรมและแม้แต่มาตรฐานสูงสุด คะแนนสูงสุดคือ 10 คะแนน ระดับ 5.3 บอกปริมาณแล้ว ความเสี่ยงปานกลาง ความเสี่ยงสูง และไม่ร้ายแรง หากความเสี่ยงปานกลาง ความเสี่ยงปานกลาง ของ Bitcoin ไม่ได้รับการซ่อมแซม มันจะไม่ได้รับผลกระทบมากนักหรือไม่เห็นผลกระทบมากนักในระยะสั้น คำจารึกหมายเลขซีเรียลของ Bitcoin (รวมถึง BRC-20 เหล่านั้นด้วย) กำลังใช้ประโยชน์จากช่องโหว่นี้ตราบเท่าที่มีการซื้อขายหรือใช้งานอยู่ บนห่วงโซ่ ในสายตาของ Luke Dashjr สิ่งนี้ทำให้เกิดการโจมตีด้วยสแปม . สแปมเป็นขยะไม่มีอะไรมาก แต่ก็ไม่ใช่ขยะ หัวข้อนี้เป็นเรื่องของความคิดเห็นที่แตกต่างกันดังนั้นจึงเป็นที่ถกเถียงกันมาก”

Cosine ยังแสดงความคิดเห็นของเขาเกี่ยวกับโซเชียลมีเดีย: ช่องโหว่ของ CVE ไม่ได้หมายความว่าจะหรือจำเป็นต้องได้รับการแก้ไข โดยเฉพาะผู้ที่มีคะแนนช่องโหว่ต่ำ เช่น ระดับความเสี่ยงปานกลาง 5.3 จุดของช่องโหว่หมายเลขซีเรียลของ Bitcoin มอง โดยรายละเอียดผลกระทบสุดท้ายคะแนนมีตัวชี้วัดหลายตัวบางตัวเป็น 0 คะแนน และตัวบ่งชี้ “ผลกระทบ” ของ lmpact มีเพียง 1.4 คะแนนเท่านั้น ในกรณีนี้ การซ่อมขั้นสุดท้ายจะขึ้นอยู่กับทัศนคติของ Bitcoin Core จริงๆ หรือไม่ และจะดำเนินการหลังการซ่อมแซมหรือไม่ ทั้งนี้ ขึ้นอยู่กับทัศนคติของคนงานเหมือง”

(คะแนนช่องโหว่ของจารึก)

ปัจจุบันชุมชนการเข้ารหัสยังคงถกเถียงกันถึง ช่องโหว่ ของคำจารึก การแนะนำการรับรองการใช้ NVD ทำให้ความขัดแย้งระหว่างทั้งสองฝ่ายรุนแรงขึ้นอีกครั้งอย่างไม่ต้องสงสัย จากมุมมองของนักพัฒนา เป็นเรื่องปกติที่ช่องโหว่จะเกิดขึ้นในระบบและได้รับการแก้ไข ไม่ว่าช่องโหว่จะมีความสำคัญเพียงใด แต่สำหรับระบบนิเวศน์ที่จารึกไว้ซึ่งใช้ประโยชน์จากช่องโหว่นี้ โดยเฉพาะอย่างยิ่งผู้มีส่วนได้ส่วนเสียจำนวนมาก สิ่งนี้คือ การทำลายผู้คนและเงิน อย่างไม่ต้องสงสัย

ปัจจุบัน คำจารึกกำลังนำเรื่องราวและความมีชีวิตชีวาใหม่ๆ มาสู่ระบบนิเวศของ Bitcoin เราหวังว่านักพัฒนาและผู้สร้างระบบนิเวศจะสามารถเจรจาและรวบรวมความคิดเห็นของพวกเขาได้โดยเร็วที่สุดและค้นหาแนวทางแก้ไขที่ดีที่สุด