TMT观察网_独特视角观察TMT行业

而此前，EOS 主網(wǎng)絡(luò)啟動兩次暫停。第一次是因全球超過 1/3 的參會節(jié)點(diǎn)投反對票推遲，第二次因投票參與率尚未達(dá)到主網(wǎng)上線所需的 15%。

私鑰投票

由于 EOS 的基本思路在于幫助用戶實(shí)現(xiàn)自助治理，因此作為個人及企業(yè)的投資方必須率先采取行動，通過精心設(shè)計(jì)的全球投票機(jī)制選擇他們希望在網(wǎng)絡(luò)上完成的交易。

但上述構(gòu)思仍然只是構(gòu)思。事實(shí)上，EOS 區(qū)塊鏈身陷“已啟動”與“實(shí)際可用”間的中間地帶，接下來需要由用戶付諸努力方可幫助其發(fā)揮作用。

問題在于，要想?yún)⑴c投票，用戶們首先需要持有自己的代幣——而這一過程需要使用私鑰，需要使用敏感的加密字符串以證明自己的資金歸自己所在。而一旦私鑰丟失，這些財(cái)富將永遠(yuǎn)消失。因此，雖然用戶渴望參與其中，但他們顯然非常擔(dān)心自己的投票工具可能導(dǎo)致其資產(chǎn)處于風(fēng)險(xiǎn)當(dāng)中。

一位 EOS 用戶在接受采訪時(shí)表示，“EOS 啟動當(dāng)中的最大‘缺失’，在于其未能意識到大部分 EOS 投資者并不愿意使用自己的私鑰進(jìn)行投票。”

正如 CoinDesk 網(wǎng)站所指出，目前惟一受到第三方安全審查保護(hù)的投票軟件為 CLEOS，這是一款由 EOS 締造者 Block.one 發(fā)布的命令行工具。然而，由于該工具對用戶的技術(shù)能力提出了較高的要求，因而迫使相當(dāng)一部分 EOS 代幣持有者不得不選擇其它不太可信的軟件。

事實(shí)上，在社區(qū)論壇當(dāng)中，除了對 EOS 相關(guān)第三方軟件的不信任問題，用戶們對參與此次投票也抱著嚴(yán)重的困惑情緒。

雖然已經(jīng)開發(fā)出多款軟件以解決這一問題，但仍有不少用戶對第三方安全審計(jì)的缺失表示擔(dān)心。此外，即使是開發(fā)者投入充分的熱情與誠信態(tài)度，欺詐與攻擊風(fēng)險(xiǎn)仍然客觀存在。

投票工具 Tokenika 首席開發(fā)者 Krzysztof Szumny 在采訪當(dāng)中表示，“無論何時(shí)，只要技術(shù)方案對用戶而言太過復(fù)雜，那么壞人就會出現(xiàn)，并嘗試?yán)眠@些弱點(diǎn)。”也就是說，有證據(jù)表明這種擔(dān)憂可能拖慢投票的實(shí)施速度，這反過來又將導(dǎo)致 EOS 實(shí)驗(yàn)步伐達(dá)不到預(yù)期。截至本文發(fā)稿時(shí)，相較于啟動區(qū)塊鏈的 1.5 億份必要投票，目前的投票完成比例僅為 37.35%。

正如一位 EOS 用戶在評論中寫道：

“可以肯定的是，很多人都跟我一樣，不會在新錢包擁有 100% 安全保障之前將私鑰放置于其中。”

安全狀況

要了解事情的全貌，我們首先需要弄清為何需要使用私鑰在 EOS 上投票。

使用任何 EOS 投票軟件都需要用到私鑰，其原因有二——第一，驗(yàn)證投票是否合法 ; 第二，將該投票與用戶持有的資產(chǎn)相關(guān)聯(lián)，從而確定其投票結(jié)果的權(quán)重。

區(qū)塊鏈項(xiàng)目 Bancor 首席技術(shù)官兼聯(lián)合創(chuàng)始人 Yudi Levi 表示：“無論是立足您的錢包、命令行工具還是其它方案進(jìn)行投票，您都需要使用私鑰。”順帶一提，Bancor 區(qū)塊鏈項(xiàng)目于 2017 年 6 月進(jìn)行了大規(guī)模首次代幣發(fā)售，并一直在努力爭取區(qū)塊生產(chǎn)候選方案的地位。

Bancor 項(xiàng)目還為 LiquidEOS 這一新型區(qū)塊鏈開發(fā)出投票工具。

從本質(zhì)上講，利用私鑰進(jìn)行投票的過程相當(dāng)于交易處理簽名——要求用戶發(fā)送等同于標(biāo)準(zhǔn)加密交易的同類簽名。

然而，這一方案有可能引發(fā)私鑰暴露問題。

在接受采訪時(shí)，區(qū)塊鏈生產(chǎn)候選方案兼投票軟件供應(yīng)商 EOS Canada 公司聯(lián)合創(chuàng)始人 Alexandre Bourget 指出，目前的各類投票工具擁有著參差不齊的安全狀況——從可信到高度危險(xiǎn)皆有存在。

一方面，像 CLEOS 這樣的命令行工具在私鑰暴露方面風(fēng)險(xiǎn)水平最低。但隨著該軟件添加更多代碼以提供用戶友好型界面，其保護(hù)難度也變得越來越高。在另一方面，代碼與互聯(lián)網(wǎng)越接近，私鑰被攔截的可能性也就越高。

Bourget 在采訪中表示，“你的網(wǎng)站會要求你導(dǎo)入自己的私鑰，并利用其完成后續(xù)操作”。他同時(shí)補(bǔ)充稱：“沒錯，這些網(wǎng)站也許完全合法，但這只是‘也許’。因?yàn)槲覀円呀?jīng)無數(shù)次看到很多善意的網(wǎng)站在毫無察覺的情況下遭到黑客入侵。”

同樣需要注意的是，EOS 代幣持有者本身也對此抱有警惕情緒。Bourget 強(qiáng)調(diào)稱，大多數(shù) EOS 用戶來自代幣公開發(fā)售，因此其很可能并沒有對 EOS 賬戶中的訪問控制權(quán)進(jìn)行重新配置。換言之，盡管他們可以創(chuàng)建多份私鑰來管理賬戶，但目前大多數(shù)用戶的代幣可能仍與單一私鑰相對應(yīng)。

對于黑客而言，這無疑相當(dāng)于為釣魚攻擊敞開了大門——字母加數(shù)字字符串正是最易于通過釣魚攻擊獲取的信息。

最佳實(shí)踐

所謂最佳實(shí)踐，就是指 EOS 持有者可在投票過程中用于保護(hù)自己的方式。

舉例來說，Bourget 建議用戶們重新配置自己的 EOS 賬戶設(shè)置以生成可用于投票簽名，但同時(shí)又不會與實(shí)際錢包對接的私鑰。

雖然目前關(guān)于這種作法的說明文件還比較有限，但 Bourget 暗示稱 EOS Canada 可能很快就會發(fā)布一段視頻劉鵬。不過在此之前，用戶還有其它一些更為簡單的措施選項(xiàng)。

Bancor 項(xiàng)目的 Levi 指出，“如果大家選擇使用那些能夠下載并以本地方式運(yùn)行在個人計(jì)算機(jī)上的投票工具，那么這些游離于瀏覽器之外的軟件將確保大家免受工具欄、僵尸網(wǎng)絡(luò)以及其他不良行為者的操縱。”

此外，他還鼓勵人們使用大型廠商提供的工具。他表示：“因?yàn)檫@些大型企業(yè)面臨著更高的潛在風(fēng)險(xiǎn)。”

舉例而言，盡管 Scatter、Greymass、LiquidEOS 以及 EOS Canada 的 EOSC 等開源投票工具還沒有接受第三方審計(jì)，但這些企業(yè)或項(xiàng)目一直在努力控制私鑰暴露的可能性，同時(shí)小心謹(jǐn)慎地記錄整個執(zhí)行流程。

如前所述，由于在網(wǎng)絡(luò)上使用私鑰會增加其被盜用的風(fēng)險(xiǎn)，因此 Tokenika 設(shè)計(jì)出一款離線投票工具，確保僅在發(fā)布投票記錄時(shí)才接入互聯(lián)網(wǎng)。

Tokenika 公司的 Szumny 在采訪中表示，“為了最大程度提高安全性水平，我們強(qiáng)烈建議大家不要在接入網(wǎng)絡(luò)的情況下，在設(shè)備上使用自己的私鑰。”

當(dāng)然，就算始終保持離線，用戶仍有可能在自己的設(shè)備上激活本地惡意軟件。

Bourget 解釋稱，“了解二進(jìn)制文件的來源及其構(gòu)建者將非常重要，因?yàn)槠渲写嬖陲L(fēng)險(xiǎn)，絕不能抱有僥幸心理。”

因此，Szumny 建議 EOS 持有者不要貿(mào)然參與實(shí)驗(yàn)，而應(yīng)謹(jǐn)慎使用自己的私鑰并逐步參與到投票過程當(dāng)中，以免受到錯誤影響。

這位開發(fā)者作出如下總結(jié)：“晚投票比早投票更好，最重要的是千萬不要在投票過程中犯下任何錯誤。”