密碼學(xué)家Sirer和智能合約之父薩博警示EOS安全漏洞區(qū)塊鏈
康奈爾大學(xué)教授,著名的密碼學(xué)家EminGunSirer批評EOS開發(fā)人員沒有尋求共識協(xié)議專家的幫助。
5月29日,由于中國網(wǎng)絡(luò)安全公司奇虎360發(fā)現(xiàn)了一個嚴(yán)重的漏洞,EOS主網(wǎng)推出被推遲了。康奈爾大學(xué)教授,著名的密碼學(xué)家Emin Gun Sirer批評EOS開發(fā)人員沒有尋求共識協(xié)議專家的幫助。
在EOS主網(wǎng)發(fā)布之后,Sirer和其他加密專家,包括智能合同致富尼克.薩博(Nick Szabo)都譴責(zé)了EOS的代碼和中心化問題。Sirer說EOS的問題會變得更糟。
在今年5月的一份官方報告中,奇虎360與EOS首席技術(shù)官丹尼爾?拉雷默(Daniel Larimer)分享了他們的談話,披露了EOS不受約束的寫入漏洞。奇虎360團(tuán)隊表示,該漏洞使黑客能夠利用和攻擊EOS超級節(jié)點。
在解析WASM文件時,我們發(fā)現(xiàn)并成功地利用了EOS中的緩沖區(qū)越界寫漏洞。通過利用該漏洞,攻擊者可以將惡意的智能協(xié)議上傳到節(jié)點服務(wù)器,在節(jié)點服務(wù)器解析該協(xié)議后,惡意協(xié)議可以在服務(wù)器上執(zhí)行并控制該服務(wù)器。在控制了節(jié)點服務(wù)器后,攻擊者可以將惡意合約打包到新的塊中,進(jìn)一步控制EOS網(wǎng)絡(luò)的所有節(jié)點。
奇虎360的報告還說,團(tuán)隊最初在5月11日發(fā)現(xiàn)了這個漏洞,并在5月28日加以利用。奇虎360向EOS團(tuán)隊披露了這一漏洞,該團(tuán)隊隨后“修復(fù)”了該漏洞,并在Github上結(jié)束了這一問題。然而,5月29日,奇虎360發(fā)現(xiàn)漏洞并非完全修復(fù),于是向公眾發(fā)布了報告。
EOS代碼層的漏洞使得該區(qū)塊鏈網(wǎng)絡(luò)面臨嚴(yán)厲的批評,那時候EOS預(yù)計將于6月2日推出其主網(wǎng)。
著名的密碼學(xué)家、康奈爾大學(xué)教授Sirer指出,EOS的情況“將變得更糟”,并強調(diào)EOS創(chuàng)建的漏洞賞金系統(tǒng)在發(fā)現(xiàn)協(xié)議的概念性或結(jié)構(gòu)性錯誤方面并不實用。
EOS漏洞賞金的設(shè)計是為了捕獲簡單的編碼錯誤,而不是協(xié)議中的概念錯誤。Sirer教授說,EOS的朋友們,你們從共識協(xié)議專家那里得到過什么幫助嗎?你們明白不應(yīng)該推出自己的密碼,但為什么你們要推出自己的共識協(xié)議呢? 這就像是你們不懂得手術(shù)刀,卻要繼續(xù)進(jìn)行腦部手術(shù)。
在有爭議的主網(wǎng)發(fā)布后不久,EOS開發(fā)人員就收到了尼克.薩博的批評,薩博說EOS的中心化使得項目容易受到攻擊和面臨各種安全漏洞。
在EOS中,一些完全陌生的人可以凍結(jié)用戶的資產(chǎn)。根據(jù)EOS協(xié)議,你必須信任一個由你可能永遠(yuǎn)不會認(rèn)識的人組成的“憲法”組織。EOS的“憲法”在社會上是不可擴(kuò)展的,是一個安全漏洞。
薩博的聲明提到了EOS對不活躍帳戶的被沒收和掛起的能力,EOS 節(jié)點候選人EOS New York的聯(lián)合創(chuàng)始人里克?施萊辛格(Rick Schlesinger)在接受采訪中也表示,用戶應(yīng)該仔細(xì)檢查EOS存在爭議的賬戶暫停過程。“我確實認(rèn)為,社區(qū)將應(yīng)該仔細(xì)審查(第十五條),了解受治理的區(qū)塊鏈應(yīng)該如何回應(yīng)社區(qū)意愿。”施萊辛格說。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
