آیا توسعه دهنده بیتکوین اینسکریپشنها را یک تهدید امنیتی میداند؟
جنجال بر سر اینکه اینسکریپشنهای بیتکوین یا همان اوردینال ها در واقع یک نقص امنیتی سایبری هستند
چندی پیش در نهم دسامبر، اینسکریپشنهای بیتکوین (Bitcoin Inscription)—یعنی همان فناوری که ساخت اوردینال ها یا NFTها را در بیتکوین امکانپذیر میکند—در لیست پایگاه داده آسیبپذیریهای سیستم عامل یا همان NVD قرار گرفتند و برچسب «نقص امنیتی» بر روی آنها خورد.
اکنون لوک دشجر، توسعهدهنده هسته (core developer) در بیتکوین، گفته که هیچ نقشی در علامتگذاری اینسکریپشنهای بیتکوین بهعنوان یک تهدید امنیت سایبری در NVD نداشته است.
برخی بر این باورند که لوک دشجر، در افزودن اینسکریپشنهای بیتکوین بهعنوان یک خطر امنیت سایبری در فهرست خطرات و آسیبپذیریها (CVE) در پایگاه داده آسیبپذیری ایالات متحده (NVD) نقش داشته است.
دشجر در پست خود در ششم دسامبر در پلتفرم X (توئیتر سابق) جنجالی را برانگیخت و ادعا کرد که اینسکریپشنها—که توسط پروتکل Ordinals و سازندگان BRC-20 برای ثبت دادهها روی ساتوشی (کوچکترین واحد بیتکوین) استفاده میشوند—در واقع دارند از یک آسیبپذیری در بیتکوین کور (Bitcoin Core) برای «اسپم کردن بلاکچین بیتکوین» سوءاستفاده میکنند.
کمی بعد در نهم دسامبر، زمانی که اینسکریپشنهای بیتکوین در پایگاه داده آسیب پذیری ایالات متحده به عنوان بخشی از لیست CVE ظاهر شده و به عنوان یک نقص امنیتی توصیف شدند، بسیاری انگشت اتهام را به سوی دشجر گرفتند. این مسئله بسیار جنجالبرانگیز است زیرا اینسکریپشنهای بیتکوین همان فناوری هستند که توسعه پروتکل اوردینال ها را در سال ۲۰۲۲ ممکن کرد و باعث شد بتوانیم روی بلاکچین بیتکوین NFT داشته باشیم.
با این حال، علیرغم اینکه دشجر یک منتقد صریح اوردینال های بیتکوین است، گفته که او هیچ نقشی در افزودن اینسکریپشنها به لیست CVE در پایگاه داده آسیبپذیریهای ایالات متحده ندارد.
جالب اینجاست که لیست CVE طوری طراحی شده است که هر توسعهدهندهای بتواند هر آسیبپذیری را در آن ثبت کند. به همین دلیل است که بسیاری بر این باورند که لوک دشجر مستقیماً در برچسب «تهدید امنیتی» زدن بر اینسکریپشنهای بیتکوین نقش داشته و خودش آنها را به این لیست اضافه کرده است.
اینسکریپشنها در این لیست امتیاز آسیبپذیری «۵/۳ متوسط» گرفتند
در یازدهم دسامبر، NVD با اختصاص دادن امتیاز آسیبپذیری «۵/۳ متوسط» به اینسکریپشنهای بیتکوین، فهرست CVE خود را به روز کرد.
طبق دادههای شرکت نرمافزار Atlassian، امتیاز «متوسط» به نوعی آسیبپذیری اشاره دارد که در آن سوءاستفاده از یک آسیبپذیری، امکان دسترسی «بسیار محدود» به شبکه را میدهد یا حملاتی را فراهم میکند که اجرای آن بسیار دشوار است؛ بنابراین میتوان نتیجه گرفت که خطر شدیدی نیست.
دشجر گفت که عامل اصلی این امتیاز ۵/۳ در لیست CVE، یک آسیبپذیری است که تأثیر کمی در دسترسی به شبکه بیتکوین دارد. با این حال، او استدلال کرد که این امتیاز میتواند اثرات بالقوه بلندمدت آن را کمتر از آنچه که واقعا هست نشان دهد. او گفت که فکر میکند اگر اثرات بلندمدت در نظر گرفته میشد، احتمالاً امتیاز آسیبپذیری به حدود ۷/۵ میرسید که ماتیاز خطرناکی است.
بحث در مورد ماهیت اینسکریپشنهای بیتکوین همچنان در رسانههای اجتماعی به شدت ادامه دارد. در حالی که بسیاری از بیتکوینداران ادعا میکنند که اینسکریپشنها شبکه بیتکوین را اسپم میکنند، طرفداران اوردینال ها مانند Udi Wertheimer، بنیانگذار Taproot Wizards میگویند که وجود اوردینال ها برای موج بزرگ بعدی پذیرش و درآمدزایی شبکه بیتکوین حیاتی است.
شبکه بیتکوین در چند ماه گذشته به دلیل شور و شوق گسترد تر در مورد اینسکریپشنهای بیتکوین و NFTهای اوردینال توکن شاهد ازدحام شدید است.
طبق گزارش mempool.space، بیش از ۲۷۵۰۰۰ تراکنش تایید نشده وجود دارد و میانگین هزینههای تراکنش با اولویت متوسط از ۱/۵۰ دلار به حدود ۱۴ دلار افزایش یافته است. اگر اینسکریپشنهای بیتکوین واقعاً یک نقص امنیتی باشند و جلوی آنها گرفته شود، سرمایهگذاری در اوردینالها به شدت کاهش پیدا میکند.