Gruodžio 9 d. JAV nacionalinė pažeidžiamumo duomenų bazė (NVD), centrinė kibernetinio saugumo grėsmių saugykla, talpino puslapį apie tariamą klaidą, susijusią su Bitcoin užrašais.
Užrašai, pagrindinis Bitcoin funkcijos, žinomos kaip Ordinals, aspektas, leidžia kurti skaitmeninius kolekcionuojamus daiktus, panašius į nepakeičiamus žetonus (NFT) – tai funkcija, kuri paprastai nebuvo įmanoma Bitcoin prieš rakto atnaujinimą 2023 m. sausio mėn.
JAV nacionalinė pažeidžiamumo duomenų bazė (NVD) yra pagrindinis kibernetinio saugumo šaltinis, ypač svarbus kriptovaliutų gyventojams, besirūpinantiems skaitmeninio turto saugumu. Nacionalinio standartų ir technologijų instituto valdomas NVD kataloguoja programinės ir aparatinės įrangos spragas, pateikia išsamią informaciją ir sunkumo įvertinimus. Jo integravimas su kibernetinio saugumo įrankiais padeda realiuoju laiku įvertinti grėsmes, o tai yra esminis veiksnys nuolat besivystančiam blokų grandinės ir kriptovaliutų sektoriui.
NVD duomenų bazėje tiesiogiai cituojamas ankstesnis „GitHub“ patarimas. Abiejuose puslapiuose teigiama, kad galima apeiti Bitcoin duomenų laikmenos dydį, užmaskuojant duomenis kaip kodą. Jie taip pat teigia, kad pažeidžiamumas buvo „išnaudojamas gamtoje Inscriptions 2022 ir 2023 metais“.
Vyriausybinė duomenų bazė papildomai klasifikuoja problemą kaip 5.3 arba „vidutinę“ riziką pagal savo CVSS 3.x sunkumo ir metrikos skalę. Nuoroda į oficialų „Bitcoin Wiki“ rodo, kad problemą lengva išnaudoti, tačiau tai yra paslaugų atsisakymo (DoS) rizika, o tai reiškia, kad „Bitcoin“ piniginės likučiams tiesiogiai negresia.
Tai, kad NVD pateikia klaidą, nereiškia, kad JAV vyriausybė ją pripažįsta; o svetainė priima ataskaitas iš išorinių vartotojų. NIST taip pat teigia, kad ji nepatvirtina išorinių nuorodų, apibūdinančių pažeidžiamumą.
Duomenų bazė cituoja pradinį Luke'o Dashjro skundą
Vienas iš puslapių, kuriuos cituoja NVD duomenų bazė, yra „Bitcoin Core“ kūrėjo Luke'o Dashjro komentaras, kuris perspėjo apie „Ordinals“ susijusį šlamštą Gruodis 6. Jis pasakė:
„PSA: „Užrašai“ išnaudoja „Bitcoin Core“ pažeidžiamumą, kad siųstų „blockchain“ šlamštą. „Bitcoin Core“ nuo 2013 m. leidžia vartotojams nustatyti papildomų duomenų dydžio apribojimą operacijose, kurias jie perduoda arba išgauna („-datacarriersize“). Paslėpdami savo duomenis kaip programos kodą, užrašai apeina šią ribą.
Jis pridūrė, kad pažeidžiamumas buvo paženklintas CVE-2023-50428, nors atitinkamame „GitHub“ puslapyje nurodyta, kad pateikimas gruodžio 11 d. neperžiūrėtas.
Pažeidžiamumas yra prieštaringas, nepaisant pusiau oficialaus jo statuso. Dashjr priešinosi Ordinalams nuo pat jų įvedimo, o naujausi įvykiai padės jo tikslams: jis tai tvirtino pažeidžiamumo pataisymas gali visiškai pašalinti Ordinals iš Bitcoin. Dashjr Bitcoin mazgas Bitcoin Knots ištaisė problemą. Neseniai atidarytas jo kasybos baseinas „Ocean“ tariamai nustojo apdoroti ir su šia problema susijusias operacijas.
Nors neaišku, ar Dashjr yra vienintelis atsakingas už klaidos pateikimą „GitHub“ ir NVD duomenų bazei, jo pastangos sulaukė dalinio bendruomenės palaikymo. Viename iš susietų elementų NVD įraše cituojamas „Bitcoin Core“ kūrėjo Sjorso Provoosto komentaras, kuris teigia, kad sprendimo nebuvimas gali paskatinti prižiūrėtojus nuolat spausti sustabdyti šiukšlių siuntimą.
Nepaisant to, daugelis Bitcoin bendruomenės narių prieštarauja Dashjr. Keli vartotojai paskelbė a grandininis laiškas teigdamas, kad „užrašai niekada nesibaigs“, nepaisant to, ar ateityje bus atlikta pataisa pagrindiniam „Bitcoin“ klientui „Bitcoin Core“.
Šaltinis: https://cryptoslate.com/controversial-bitcoin-ordinals-related-bug-added-to-us-national-vulnerability-database/