
La vulnérabilité CVE a-t-elle été adoptée par le NVD américain ? Cela pourrait-il provoquer l'effondrement de l'écosystème Inscription ?
TechFlow SélectionTechFlow Sélection

La vulnérabilité CVE a-t-elle été adoptée par le NVD américain ? Cela pourrait-il provoquer l'effondrement de l'écosystème Inscription ?
Les inscriptions, créées à partir d'une faille, apportent pourtant une nouvelle narration à l'écosystème Bitcoin.
Rédaction : Fu Ruhé, Odaily Planet Daily
Aujourd'hui, Yu Xian, fondateur de la société de sécurité SlowMist, a publié sur la plateforme X qu'une vulnérabilité liée aux inscriptions (Inscriptions) du protocole Bitcoin Ordinals a été officiellement enregistrée dans la base de données nationale des vulnérabilités américaine (NVD), avec une note CVSS de 5,3, classée comme niveau de risque modéré (sur une échelle maximale de 10 points).
« L'attribution d'un numéro CVE à ce problème d'inscription est une démarche radicale qui clarifie nettement sa nature de vulnérabilité. Obtenir un CVE n'est pas nouveau ; de nombreuses équipes ou individus en sécurité peuvent en demander, nous n'y accordons pas trop d'importance… Mais cela pourrait avoir plus de poids pour les acteurs de l'écosystème Bitcoin, car le numéro CVE est l'une des preuves les plus reconnues dans l'industrie de la cybersécurité. »
Bien que Yu Xian insiste sur le fait qu'il étudie aussi les inscriptions — « J'ai l'impression que les inscriptions pourraient trouver d'autres voies, j'espère voir de meilleures solutions » — la certification officielle de cette vulnérabilité par le NVD a tout de même suscité des débats au sein de la communauté cryptographique. Certains rejettent catégoriquement cette reconnaissance par le NVD, affirmant qu'un réseau décentralisé comme Bitcoin ne devrait pas être défini par des institutions centralisées.

(Capture d'écran du post de Yu Xian)
Précédemment, Luke Dashjr, développeur du client principal Bitcoin Core, avait affirmé que les inscriptions exploitaient une vulnérabilité du logiciel Bitcoin Core pour envoyer des spams sur la blockchain, vulnérabilité désormais identifiée sous le code CVE-2023-50428. Toutefois, certains investisseurs cryptographiques ont rejeté cette démarche, accusant Luke Dashjr d'avoir obtenu ce CVE sur la base de préjugés personnels et de raisons fallacieuses : « C’est une honteuse instrumentalisation d’un mécanisme de sécurité publique. »

(Capture d'écran du post de Luke Dashjr)
Pour les détenteurs d'inscriptions, la question centrale est la suivante : l’enregistrement par le NVD signifie-t-il que cette vulnérabilité doit être corrigée, affectant ainsi le marché des inscriptions ?
Un expert en sécurité, souhaitant rester anonyme, a déclaré à Odaily Planet Daily que l'enregistrement d'une vulnérabilité ne signifie pas nécessairement qu'elle doive être corrigée ; la décision finale revient à l’équipe Bitcoin Core quant à la manière dont elle conçoit et met en œuvre les correctifs. Toutefois, cette reconnaissance renforce indéniablement la perception selon laquelle « les inscriptions Bitcoin Ordinals sont une vulnérabilité », étant donné l'influence durable du CVE/NVD dans les secteurs de la sécurité et des technologies.
« Par ailleurs, il faut rappeler que bien que les plateformes CVE/NVD soient extrêmement connues, parmi les innombrables vulnérabilités recensées historiquement, toutes n’ont pas été corrigées, ni même corrigées rapidement. Ce type de controverse n’est pas unique au Bitcoin. Il convient de l’aborder avec calme et objectivité. »
L’expert ajoute que, bien que le score CVSS attribué à cette vulnérabilité soit de 5,3 (risque modéré), cela ne signifie pas qu’elle menace la sécurité fondamentale de la blockchain entière. « Le CVSS est une norme très reconnue, voire dominante, dans l’évaluation des vulnérabilités. Sur une échelle de 10, un score de 5,3 est déjà très parlant : risque modéré, ni élevé ni critique. Le fait que cette vulnérabilité modérée sur Bitcoin ne soit pas corrigée n’aura probablement pas d’impact majeur, du moins pas à court terme. Tant que les inscriptions Bitcoin Ordinals (y compris les BRC-20) continuent d’être échangées ou actives sur la chaîne, elles exploitent techniquement cette vulnérabilité. Aux yeux de Luke Dashjr, cela constitue une attaque par spam. Spam signifie simplement "courrier indésirable", rien de plus. Mais savoir si c’est réellement du spam reste subjectif — d’où la controverse. »
Yu Xian a également exprimé son point de vue sur les réseaux sociaux : « Un CVE ne signifie pas qu’une vulnérabilité doive obligatoirement ou nécessairement être corrigée, surtout lorsqu’elle a un score faible, comme ici avec 5,3 pour la vulnérabilité Ordinals. En examinant les détails, plusieurs indicateurs influencent le score final, dont certains sont notés zéro. L’indicateur “Impact” lui-même n’atteint que 1,4. Dans ces conditions, la décision de corriger ou non dépendra vraiment de l’attitude de Bitcoin Core, et même après correction, sa mise en œuvre effective dépendra de la volonté des mineurs. »

(Note de la vulnérabilité des inscriptions)
À ce jour, la communauté cryptographique continue de débattre âprement sur la qualification d’« erreur » concernant les inscriptions. L’introduction de cette reconnaissance par le NVD n’a fait qu’exacerber les tensions entre les deux camps. Du point de vue des développeurs, l’apparition de vulnérabilités dans un système et leur correction ultérieure relèvent d’un processus tout à fait normal, quelle que soit leur gravité. Pour l’écosystème des inscriptions, en particulier pour les nombreux acteurs ayant des intérêts en jeu, cela équivaut à couper leurs sources de revenus.
Actuellement, les inscriptions apportent une nouvelle narration et une nouvelle dynamique à l’écosystème Bitcoin. Nous espérons que développeurs et bâtisseurs de l’écosystème parviendront bientôt à un consensus et trouveront une solution optimale.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










