TMT观察网_独特视角观察TMT行业

據IMEOS消息，近日，區塊鏈安全公司PeckShield發現部分EOS用戶的秘鑰存在嚴重的安全隱患，部分秘鑰允許用強度較弱的助記詞，很容易存在“彩虹”攻擊，并引發賬戶數字資產被盜。

其實自今年5月以來，EOS就屢遭負面新聞纏身?！笆吩娂墶甭┒?、百萬私鑰被盜、主網癱瘓……安全問題似乎已經成為了EOS很大的硬傷。

對于這個1年募資40億美金的明星項目，支持者認為它開啟了區塊鏈3.0時代，反對者將其視為史上最大的空氣幣、傳銷幣，存在嚴重的安全隱患。

更有區塊鏈研究員預言，明年將會有一場大規模利用EOS漏洞的黑客攻擊?！翱紤]到開發人員處理關鍵安全問題的方式，這一攻擊的出現將很可能是不可避免的?！?/span>

攻擊必將到來，而且不可避免？

EOS安全事件頻發的根源究竟是什么？火星財經將其主要隱患盤點如下，涉及開發語言、安全審計、共識機制、創始人和市場營銷5個方面：

1.開發語言缺乏防護

受安全問題影響，EOS超級節點競選推進緩慢。

競選期間，荷蘭黑客因發現EOS的9個漏洞，獲9萬美元獎金，而百萬私鑰被盜的丑聞再度為EOS蒙上了一層陰影。

直到北京時間6月15日凌晨1點50分，在最終達到15%的投票率以后，EOS主網才正式被激活。但過了不足48個小時，EOS再現嚴重故障，暫停出塊，修復時間持續近5個小時。

基于EOS“打地鼠式”的漏洞修復模式，康奈爾大學區塊鏈研究員EminGünSirer在Twitter中直接開炮：明年將會有一場大規模利用EOS漏洞的黑客攻擊。

這一預言能否從應驗我們不得而知，但部分專家認為，EOS的開發語言或許早已為黑客攻擊埋下了伏筆。

在接受財經網采訪時，星云鏈聯合創始人兼CTO鐘馥百表示，EOS的開發語言是C/C ，而不是以太坊等其它公鏈所采用的安全性較好的Golang語言。該開發語言的最大優勢就是易操作，例如可以直接操作機器和內存，能嵌入匯編代碼，抽象度低，性能較高，但最大的問題是缺乏安全防護設計，使其開發的程序存在顯著的安全隱患，容易造成緩沖區溢出攻擊、非法指令等問題。

這與火幣區塊鏈研究院的觀點不謀而合。在360爆出EOS“史詩級”漏洞后，該研究院發文稱，C 允許程序員通過指針等方式進行極為自主的控制及使用，并不強制檢查數組邊界等條件。但也正是因為這種靈活性，C/C 程序常會因為內存管理的復雜性而出現內存泄露、宕機或內存越界等問題，造成緩沖區溢出攻擊，這在大型工程上尤其常見。

文章還指出，早在1988年就存在利用緩沖區溢出進行攻擊的行為。據估計，它一經出現便影響了互聯網上10%的計算機，造成約10萬至100萬美元的損失。此后30年間，很多著名的攻擊事件都采取了緩沖區溢出的方式。

結合360公布的EOS漏洞，如果能將風險控制在單機范圍內，那對全局來說影響還是相對可接受的。但正是由于惡意代碼可以是一個區塊鏈上的合約，因此EOS將合約打包成區塊后會在整個網絡中傳播，使得所有節點均可被此惡意代碼控制，整個網絡都將受到致命影響。

2.安全審計相對滯后

如果說開發語言暗藏隱患，那么EOS在主網上線前未公開披露安全審計結果，似乎將其對安全問題的無視直接擺到了臺面。

據技術開發領域專家介紹，在業內像微軟等科技巨頭都會在代碼開發完成后進行安全審計，這實際上已經成為了一種“慣例”，Ethereum、Nebulas等公鏈項目都曾在主網上線前開展了此項工作。

如果從結果導向看，360之所以能夠爆出“史詩級”漏洞，或許正是EOS沒有做安全審計的結果。而EOS宣布上線后才開始讓各社區進行安全審計，進一步印證了這一猜測。

在星云鏈聯合創始人兼CTO鐘馥百看來，這是不負責任的行為，因為業內通行的做法都是上線前做安全審計，這是對持幣人負責。EOS全面上線后才開始檢查漏洞和問題，等于把風險直接暴露，讓持幣人承擔所有的風險和后果。?

360核心安全事業部安全研究員彭峙釀告訴火星財經記者，就目前Github上EOS漏洞修復情況和進度來看，可以推測EOS項目開發前期缺乏有效的安全開發生命周期管理，在安全風險評估、攻擊面減約、代碼審計和安全測試等方面前期準備都不足。

在復盤EOS安全事件時，火幣區塊鏈研究院指出，這些問題完全可以通過有效的代碼安全審查機制來避免。區塊鏈作為一個分布式的去中心化系統，代碼一旦部署將很難更新，需通過硬分叉或者軟分叉來對代碼進行升級，成本不可謂不高，所以在項目發布之前，充足的測試和代碼審核變得十分關鍵和必要。

3.DPOS機制易遭攻擊

EOS引以為傲的DPOS共識機制同樣飽受逅病。

眾所周知，比特幣平均每秒交易7筆，以太坊平均每秒交易35筆，而EOS意在打造區塊鏈行業的操作系統，通過并行計算實現百萬級TPS。

支撐這一效果的是共識機制的改變。不同于POW（工作量證明）和POS（權益證明），EOS采用DPOS，它類似于代理人權益證明共識算法，設21個“超級節點”驗證交易，這些節點由全鏈根據一幣一票投票產生。

如此一來，EOS的交易速度提升了，也減少了很多挖礦能耗，但這一創新性的設計卻引來了不少非議。

外界普遍認為，EOS的21個超級節點很容易被黑掉，存在兩方面的安全隱患：一是內部作惡，21個節點存在共謀可能；二是EOS暴露了21個超級節點，似乎更易遭到外部攻擊，一旦21個超級節點被控制，就等于控制住了EOS，這與區塊鏈所追求的去中心化和安全性似乎是相違背的。

此外，EOS在抵抗世界各地的審查方面也會存在問題，比如因為節點相對集中，一旦被個別國家政府要求關閉，必將面臨較大風險。

早在EOS主網上線前，BM曾發推特展示DPOS比比特幣、以太坊更具去中心化優勢，但隨即遭到以太坊創始人V神回懟。V神認為21個超級節點并不是21個不同實體，節點之間可能存在內在聯系的共謀。

中關村區塊鏈產業聯盟秘書長朱佩江認為，相對于POW（工作量證明法）和POS（權益證明法）兩種共識機制，DPOS在設計上確實會讓攻擊者更容易攻擊。但他同時表示，21個節點的設置仍然是在保持多節點的優勢，被一家掌控的可能性低，節點作惡仍然可以通過投票指認出來。

結合近期發現的EOS安全問題，360核心安全事業部安全研究員彭峙釀稱，這大多數是軟件實現上的漏洞，是所有軟件項目都會面臨的問題，并非EOS獨有，也非公鏈項目獨有，與DPOS機制無關，也并非區塊鏈技術本身的缺陷。不過，由于公鏈項目通常與數字貨幣掛鉤，一旦出現安全問題可能會造成很嚴重的后果，比如網絡崩潰、用戶資產損失、密鑰泄露、節點被控制等。

4.創始人BM不懂安全

所有安全問題的根源，始終繞不過創始人BM。

EOS是BM發起的第三個項目。這位畢業于佛吉尼亞大學計算機系的IT男，曾成功開發了BTS和Steemit兩個市值進入TOP30的區塊鏈項目。除此之外，他還是DPOS（權益股份制證明）共識算法的創建者，也是自治化組織DAO的創建者。

在那副廣為流傳的區塊鏈撲克牌中，黑桃A代表的正是BM，足見其江湖地位。

然而，結合BM在EOS安全問題上的表現，部分業內人士認為這位“技術大神”并不懂網絡安全。

5月29日，360爆出EOS存在“史詩級”漏洞，可完全控制虛擬貨幣交易。BM隨后在電報群中發布消息，稱將獎勵發現并提交Bug的人，“提供有價值的漏洞會獲得1萬美金的報酬”。

對于360報告中提到的漏洞，他表示早已修復，且早于報告發布時間，而360的行為是在制造恐慌，對于任何挑起市場恐慌的行為將取消其獎勵資格。有專家認為，這種態度這是不敢正視問題，對技術極度不尊重。

Dfund創始人趙東直接在朋友圈開懟：“不管360什么目的（我們不要懷疑別人做事的動機），我至少確定一點：根據GIthub代碼提交時間可知，BUG修復在360向BM匯報BUG之后而非之前。BM在睜著眼睛說瞎話，人品極其不可靠?！?/span>

據FN資訊7月11日報道，EOS自啟動漏洞賞金計劃以來，上半年賞金超10萬美元。黑客GuidoVranken最近通過發現EOS協議中的漏洞賺取了12萬美元，但對于Vranken團隊披露的系統中的其它錯誤，EOS仍未將其公開?！癊OS似乎存在一些很嚴重的漏洞，并缺少全職的安全團隊?！?/span>

北京知道創宇創始人、著名安全專家趙偉在接受媒體采訪時表示，自己與團隊在BM的溝通中發現，BM會混淆一些安全基礎性的概念，其本人在安全技術領域并不專業。

持相同觀點的還有360安全人員。在接受火星財經采訪時，安全人員透露，在團隊提交漏洞并跟BM溝通時，會發現他基本上不懂安全，對安全的認知比較差。

5.過度包裝暗藏風險

至于EOS募資的瘋狂程度，或許連BM也始料未及。

產品尚未正式上線，卻在一年內瘋狂攔金40億美元，這與EOS的過度包裝和炒作不無關系。除了被冠以“區塊鏈3.0”的名號外，資本大鱷、交易所巨頭、溫州炒房團、礦場土豪等爭相競選超級節點，也讓EOS賺足了眼球。

但如此大規模的募資究竟流向何處？伴隨市場疑惑的此消彼長，躲在暗處的“危險分子”或許覬覦已久。

專注于區塊鏈項目投資的大河資本合伙人李榮閣表示，EOS之所以頻頻爆發安全問題，除了項目本身采用了很多創新的實現方案，以及公鏈項目要公開代碼的原因外，也與項目強大的社區運營能力和宣傳造勢相關。

在他看來，EOS沒有上線就能取得大量投資人的認可，得到超高的市值，必然會引起各方面的關注，其中也包括安全專家和黑客，因此系統更容易被爆出各種漏洞。

他同時強調，早期項目的開發進度應該與知名度互相匹配，這對項目團隊來說更容易形成一個良性的外部環境，如果社會關注度過高，很容易形成“傷仲永”的后果。

值得注意的是，EOS社區負責人ThomasCox在主網癱瘓后的發言也驗證了其關注度過高。他表示，任何軟件都有漏洞，BP和工程師修復主網并使它重新上線預示著未來會非常好，比特幣和以太坊初始階段，由于沒有人用，所以沒有人理會它們的漏洞。

雖然有以上種種硬傷，但并非無藥可治。據火星財經了解，目前來自世界各地的白帽黑客還在持續為EOS報告漏洞和提交修復建議。

沒被意識到的漏洞是可怕的，被意識到后，漏洞的威力將會大大降低。EOS團隊如果從此刻起，能更加重視安全問題并不斷增加投入，完全可以將各種隱患扼殺在爆發前夕。

不得不承認的是，安全性問題是目前整個區塊鏈領域的短板，并非EOS獨有，隨著各界的關注，隨著行業整體安全水平的提升，EOS的安全性能也必將水漲船高。

我們愿意相信，未來發生大規模利用EOS漏洞的黑客攻擊，概率將會逐漸降低。