
Lỗ hổng CVE được NVD của Mỹ chấp nhận, liệu có gây sụp đổ hệ sinh thái Inscription không?
Tuyển chọn TechFlowTuyển chọn TechFlow

Lỗ hổng CVE được NVD của Mỹ chấp nhận, liệu có gây sụp đổ hệ sinh thái Inscription không?
Inscriptions được tạo ra từ những lỗ hổng, nhưng lại mang đến một câu chuyện mới cho hệ sinh thái Bitcoin.
Tác giả: Fu Ruhé, Odaily Planet Daily
Hôm nay, Yu Xian, người sáng lập công ty an ninh SlowMist, đã đăng bài trên nền tảng X cho biết lỗ hổng ghi chú (Inscription) theo thứ tự Bitcoin đã chính thức được Cơ sở Dữ liệu Lỗ hổng Quốc gia Hoa Kỳ (NVD) chấp nhận, mức độ đánh giá CVSS là 5.3 - mức trung bình (thang điểm tối đa 10).
"Vấn đề ghi chú này đã được cấp một mã số CVE, đây là hành động rút ngọn gốc rễ, thể hiện rõ ràng thái độ định tính đây là một lỗ hổng. Việc có mã CVE không phải là điều gì mới mẻ, nhiều đội ngũ an ninh/cá nhân đều có thể xin cấp, chúng tôi không quá coi trọng việc này... Nhưng có lẽ các bên liên quan đến hệ sinh thái Bitcoin sẽ coi trọng điều này, bởi vì mã CVE trong ngành an ninh là một trong những bằng chứng nổi tiếng nhất về lỗ hổng."
Mặc dù Yu Xian nhiều lần nhấn mạnh bản thân cũng tham gia (nghiên cứu) ghi chú và "cảm thấy rằng ghi chú có thể có con đường phát triển khác, hy vọng sẽ thấy giải pháp tốt hơn", nhưng "lỗ hổng ghi chú được xác nhận chính thức" vẫn gây tranh luận trong cộng đồng tiền mã hóa. Một số người không đồng tình với việc xác nhận của NVD và cho rằng Bitcoin phi tập trung không nên bị định nghĩa bởi các tổ chức tập trung.

(Ảnh chụp bài đăng của Yu Xian)
Trước đó, Luke Dashjr, nhà phát triển của phần mềm Bitcoin Core, từng tuyên bố rằng các bản ghi chú đang lợi dụng một lỗ hổng trong phần mềm Bitcoin Core để gửi tin nhắn rác vào blockchain, và lỗ hổng này đã được cấp mã định danh CVE-2023-50428. Tuy nhiên, các nhà đầu tư tiền mã hóa lại không chấp nhận, cho rằng Luke Dashjr đã sử dụng lý do giả tạo do thành kiến cá nhân để xin cấp CVE thành công: "Đây là sự lạm dụng đáng xấu hổ đối với cơ chế an toàn công cộng".

(Ảnh chụp bài đăng của Luke Dashjr)
Đối với những người nắm giữ ghi chú, vấn đề cốt lõi nhất là: Việc NVD chấp thuận công nhận có phải đồng nghĩa với việc lỗ hổng này cần được sửa chữa, từ đó ảnh hưởng đến thị trường ghi chú hay không?
Một chuyên gia an ninh giấu tên cho biết với Odaily Planet Daily rằng việc công nhận lỗ hổng không có nghĩa là nó phải được sửa chữa; việc có sửa hay không vẫn phụ thuộc vào cách suy nghĩ và thực thi của Bitcoin Core. Tuy nhiên, hành động này chắc chắn sẽ làm dấy lên giọng điệu định tính rằng "ghi chú theo thứ tự Bitcoin là một lỗ hổng", bởi vì CVE/NVD có ảnh hưởng lâu dài trong ngành an ninh hoặc ngành công nghệ.
"Cần hiểu thêm rằng, mặc dù các nền tảng như CVE/NVD rất nổi tiếng, vô số lỗ hổng trong lịch sử được lưu trữ chưa chắc đã được sửa hoặc sửa kịp thời. Tranh cãi về lỗ hổng này không phải trường hợp đặc biệt chỉ Bitcoin gặp phải, hãy bình tĩnh đối diện."
Ngoài ra, chuyên gia này cho biết mặc dù CVSS đánh giá mức độ nghiêm trọng của lỗ hổng này là 5.3 (trung bình), nhưng điều đó không có nghĩa là nó đe dọa đến toàn bộ an toàn của blockchain. "CVSS là tiêu chuẩn đánh giá lỗ hổng cực kỳ nổi tiếng trong ngành, thậm chí là tiêu chuẩn hàng đầu, thang điểm tối đa là 10, mức 5.3 đã nói lên rất nhiều điều rồi. Mức trung bình, không phải cao cũng chẳng phải nghiêm trọng. Việc không sửa lỗ hổng trung bình này ở Bitcoin sẽ không gây ảnh hưởng lớn hoặc ít nhất ngắn hạn sẽ không thấy ảnh hưởng lớn. Các ghi chú theo thứ tự Bitcoin (bao gồm cả BRC-20) miễn là còn giao dịch hoặc hoạt động trên chuỗi là đang tận dụng lỗ hổng này, trong mắt Luke Dashjr thì điều này gây ra tấn công Spam. Spam tức là rác, chỉ đơn giản vậy thôi. Nhưng có phải là rác hay không thì tùy người nhìn nhận, vì vậy mới gây tranh cãi."
Yu Xian cũng bày tỏ quan điểm trên mạng xã hội: "Lỗ hổng CVE không có nghĩa là tất cả đều phải hoặc cần thiết phải sửa, đặc biệt là những lỗ hổng có mức đánh giá thấp, ví dụ như lỗ hổng ghi chú theo thứ tự Bitcoin với điểm số 5.3 mức trung bình. Nhìn vào chi tiết, điểm số cuối cùng chịu ảnh hưởng bởi nhiều chỉ số, trong đó một số chỉ số là 0 điểm, chỉ số 'Tác động' (Impact) cũng chỉ đạt 1,4 điểm. Trong trường hợp này, việc có sửa hay không thực sự phụ thuộc vào thái độ của Bitcoin Core, và sau khi sửa thì có thực thi hay không còn phụ thuộc vào thái độ của các thợ đào."

(Bảng điểm đánh giá lỗ hổng ghi chú)
Hiện tại, cộng đồng tiền mã hóa vẫn tranh luận gay gắt về việc "lỗ hổng" ghi chú, và lần đưa vào xác nhận của NVD rõ ràng đã làm trầm trọng thêm mâu thuẫn giữa hai phía. Từ góc nhìn của nhà phát triển, việc hệ thống xuất hiện lỗ hổng và tiến hành sửa chữa là hiện tượng hết sức bình thường, bất kể mức độ quan trọng của lỗ hổng đó ra sao. Nhưng đối với hệ sinh thái ghi chú đang khai thác lỗ hổng này, đặc biệt là đông đảo các bên liên quan, điều này rõ ràng là "cắt nguồn lợi nhuận".
Hiện nay ghi chú đang mang lại câu chuyện và sức sống mới cho hệ sinh thái Bitcoin, hy vọng các nhà phát triển và những người xây dựng hệ sinh thái sớm tìm được tiếng nói chung và giải pháp tối ưu.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












