O Banco de Dados Nacional de Vulnerabilidades (NVD) dos EUA, um repositório central para ameaças à segurança cibernética, hospedou uma página sobre um suposto bug relacionado a Bitcoin inscrições a partir de 9 de dezembro.
Inscrições, um aspecto fundamental de um recurso Bitcoin conhecido como Ordinaispermitem a criação de colecionáveis digitais semelhantes a tokens não fungíveis (NFTs) – um recurso que normalmente não era possível no Bitcoin antes de um atualização de chave em janeiro de 2023.
O Banco de Dados Nacional de Vulnerabilidades (NVD) dos EUA é um recurso fundamental para a segurança cibernética, particularmente relevante para criptonativos preocupados com a segurança de ativos digitais. Gerenciado pelo Instituto Nacional de Padrões e Tecnologia, o NVD cataloga vulnerabilidades de software e hardware, fornecendo informações detalhadas e classificações de gravidade. Sua integração com ferramentas de segurança cibernética auxilia na avaliação de ameaças em tempo real, um fator crucial para o setor de blockchain e criptomoeda em constante evolução.
O banco de dados NVD cita diretamente um documento anterior Aviso do GitHub. Ambas as páginas afirmam que é possível contornar o tamanho do suporte de dados do Bitcoin ofuscando os dados como código. Eles também afirmam que a vulnerabilidade foi “explorada em estado selvagem pelas inscrições em 2022 e 2023”.
O banco de dados do governo classifica adicionalmente o problema como risco 5,3 ou “médio” em sua escala de gravidade e métricas CVSS 3.x. Um link para o oficial WikiBitcoins indica que o problema é fácil de explorar, mas é um risco de negação de serviço (DoS), o que implica que os saldos das carteiras Bitcoin não estão diretamente em risco.
O fato de o NVD listar o bug não significa que o governo dos EUA o reconheça; em vez disso, o site aceita relatórios de usuários externos. O NIST também afirma que não endossa links externos que descrevam a vulnerabilidade.
Banco de dados cita a reclamação original de Luke Dashjr
Uma das páginas citadas pelo banco de dados NVD é um comentário do desenvolvedor Bitcoin Core Luke Dashjrque alertou sobre spam relacionado a Ordinals em 6 de dezembro. Ele disse:
“PSA: 'Inscrições' estão explorando uma vulnerabilidade no Bitcoin Core para enviar spam ao blockchain. O Bitcoin Core permite, desde 2013, que os usuários estabeleçam um limite para o tamanho dos dados extras nas transações que eles retransmitem ou extraem (`-datacarriersize`). Ao ofuscar seus dados como código de programa, as inscrições contornam esse limite.”
Ele acrescentou que a vulnerabilidade foi rotulada CVE-2023-50428, embora a página relevante do GitHub indique que o envio não foi revisado até 11 de dezembro.
A vulnerabilidade é controversa apesar do seu status semi-oficial. Dashjr se opôs aos ordinais desde sua introdução, e os últimos desenvolvimentos ajudarão seus objetivos: ele afirmou que uma correção para a vulnerabilidade poderia eliminar totalmente os Ordinals do Bitcoin. O nó Bitcoin do Dashjr, Bitcoin Knots, corrigiu o problema. Seu pool de mineração lançado recentemente, oceanosupostamente também parou de processar transações relacionadas ao problema.
Embora não esteja claro se Dashjr é o único responsável por enviar o bug ao GitHub e ao banco de dados NVD, seus esforços ganharam apoio parcial da comunidade. Um item vinculado na postagem do NVD cita um comentário do desenvolvedor do Bitcoin Core, Sjors Provoost, que afirma que a ausência de uma solução pode fazer com que os mantenedores sejam repetidamente pressionados para impedir o spam.
Independentemente disso, muitos na comunidade Bitcoin se opõem ao Dashjr. Vários usuários postaram um carta-corrente afirmando que “as inscrições nunca irão parar”, independentemente de uma correção ser introduzida no cliente Bitcoin principal, Núcleo Bitcoinno futuro.