原創- Odaily

作者- 夫如何

今日，安全公司慢霧創始人餘弦在X 平台發文表示，比特幣序列號銘文（Inscription）漏洞CVE 被美國國家漏洞數據庫（NVD）正式採納，CVSS 漏洞等級評分為5.3 中危險等級（滿分為10 分）。

「銘文這個問題被分配了個CVE 編號，這是釜底抽薪了，態度鮮明地定性漏洞了。CVE 編號不是什麼新鮮事，許多安全團隊/個人都可以申請，我們沒太看重這玩意……但可能比特幣生態相關角色會看重這個，畢竟CVE 編號在安全行業是最知名的漏洞證明之一。”

雖然餘弦一再表示自己也玩（研究）銘文，“感覺銘文會有其他出路，希望看到更優解”，但“銘文漏洞被官方蓋戳認證”還是在加密社區引起討論。有些人並不認可這次NVD 的認證，並表示去中心化的比特幣不應該靠中心化機構來定義。

（餘弦推文截圖）

在此之前，比特幣核心客戶端Bitcoin Core 開發人員Luke Dashjr 就曾表示銘文正在利用Bitcoin Core 客戶端的一個漏洞向區塊鏈發送垃圾消息，該漏洞已被分配標識符CVE-2023-50428 。不過，加密投資者卻不買賬，認為Luke Dashjr 是因為自身偏見透過虛假理由才申請成功CVE，「這是對公共安全機制的可恥利用」。

（Luke Dashjr 推文截圖）

對銘文持有者來說，最核心的問題莫過於，NVD 的採納認證是否意味著漏洞需要修復，進而影響銘文市場？

一位匿名安全人士告訴Odaily，漏洞認證並不意味著需要被修復，修不修復還是要看Bitcoin Core 如何思考和執行；但此舉確實會帶來「比特幣序號銘文是漏洞」的這種定性聲音，畢竟CVE/NVD 在安全產業或技術產業很有長遠影響力。

「另外要知道的是，雖然CVE/NVD 這些漏洞平台知名度極高，但歷史收錄的無數漏洞並不是都被修復或及時修復。這種漏洞爭議不是比特幣遇到的特例，平常心對待即可。”

另外，該安全人士表示，雖然CVSS 將該漏洞評為5.3 中危險等級，並不代表這會威脅整個區塊鏈的安全性。 「CVSS 是業界非常知名的漏洞評分標準甚至是頂流標準，最高分10 分， 5.3 這個等級已經很說明問題了。中危，不是高危更不是嚴重。比特幣這個中危漏洞不修復並不會帶來多大影響或短期內看不到多大影響，比特幣序列號銘文（包括那些BRC-20）只要正在交易或鏈上活動就是在利用這個漏洞，在Luke Dashjr 的眼裡這是帶來了Spam 攻擊。Spam 也就是垃圾，僅此而已，但是不是垃圾，這話題仁者見仁，所以說很有爭議。”

餘弦也在社群媒體上發表看法：「CVE 漏洞不代表都一定會或有必要修復，尤其是漏洞評分等級不高的，例如比特幣序號漏洞的5.3 分中危等級，從細節上看，影響最終分數有許多指標，其中有的指標是0 分，lmpact 這個「影響」指標也才1.4 分。如果是這種情況，最終修復與否還真要看Bitcoin Core 的態度，修復後執行與否還得看礦商的態度。 」

（銘文漏洞評分）

目前，加密社群對銘文「漏洞」一事依然爭論不休，這次引入NVD 採納認證無疑再次激化了雙方矛盾。站在開發人員的角度來看，系統中產生漏洞，並對其修復是再正常不過的現象，無論此漏洞處於何種重要程度。但對於利用此漏洞的銘文生態來說，特別是眾多利益相關者，這無疑是在「斷人財路」。

如今銘文正為比特幣生態帶來新的敘事與活力，期待開發者與生態建設者能早日協商統一意見，找到一個最優解。