密碼學家Sirer和智能合約之父薩博警示EOS安全漏洞區(qū)塊鏈
康奈爾大學教授,著名的密碼學家EminGunSirer批評EOS開發(fā)人員沒有尋求共識協(xié)議專家的幫助。
5月29日,由于中國網(wǎng)絡(luò)安全公司奇虎360發(fā)現(xiàn)了一個嚴重的漏洞,EOS主網(wǎng)推出被推遲了。康奈爾大學教授,著名的密碼學家Emin Gun Sirer批評EOS開發(fā)人員沒有尋求共識協(xié)議專家的幫助。
在EOS主網(wǎng)發(fā)布之后,Sirer和其他加密專家,包括智能合同致富尼克.薩博(Nick Szabo)都譴責了EOS的代碼和中心化問題。Sirer說EOS的問題會變得更糟。
在今年5月的一份官方報告中,奇虎360與EOS首席技術(shù)官丹尼爾?拉雷默(Daniel Larimer)分享了他們的談話,披露了EOS不受約束的寫入漏洞。奇虎360團隊表示,該漏洞使黑客能夠利用和攻擊EOS超級節(jié)點。
在解析WASM文件時,我們發(fā)現(xiàn)并成功地利用了EOS中的緩沖區(qū)越界寫漏洞。通過利用該漏洞,攻擊者可以將惡意的智能協(xié)議上傳到節(jié)點服務器,在節(jié)點服務器解析該協(xié)議后,惡意協(xié)議可以在服務器上執(zhí)行并控制該服務器。在控制了節(jié)點服務器后,攻擊者可以將惡意合約打包到新的塊中,進一步控制EOS網(wǎng)絡(luò)的所有節(jié)點。
奇虎360的報告還說,團隊最初在5月11日發(fā)現(xiàn)了這個漏洞,并在5月28日加以利用。奇虎360向EOS團隊披露了這一漏洞,該團隊隨后“修復”了該漏洞,并在Github上結(jié)束了這一問題。然而,5月29日,奇虎360發(fā)現(xiàn)漏洞并非完全修復,于是向公眾發(fā)布了報告。
EOS代碼層的漏洞使得該區(qū)塊鏈網(wǎng)絡(luò)面臨嚴厲的批評,那時候EOS預計將于6月2日推出其主網(wǎng)。
著名的密碼學家、康奈爾大學教授Sirer指出,EOS的情況“將變得更糟”,并強調(diào)EOS創(chuàng)建的漏洞賞金系統(tǒng)在發(fā)現(xiàn)協(xié)議的概念性或結(jié)構(gòu)性錯誤方面并不實用。
EOS漏洞賞金的設(shè)計是為了捕獲簡單的編碼錯誤,而不是協(xié)議中的概念錯誤。Sirer教授說,EOS的朋友們,你們從共識協(xié)議專家那里得到過什么幫助嗎?你們明白不應該推出自己的密碼,但為什么你們要推出自己的共識協(xié)議呢? 這就像是你們不懂得手術(shù)刀,卻要繼續(xù)進行腦部手術(shù)。
在有爭議的主網(wǎng)發(fā)布后不久,EOS開發(fā)人員就收到了尼克.薩博的批評,薩博說EOS的中心化使得項目容易受到攻擊和面臨各種安全漏洞。
在EOS中,一些完全陌生的人可以凍結(jié)用戶的資產(chǎn)。根據(jù)EOS協(xié)議,你必須信任一個由你可能永遠不會認識的人組成的“憲法”組織。EOS的“憲法”在社會上是不可擴展的,是一個安全漏洞。
薩博的聲明提到了EOS對不活躍帳戶的被沒收和掛起的能力,EOS 節(jié)點候選人EOS New York的聯(lián)合創(chuàng)始人里克?施萊辛格(Rick Schlesinger)在接受采訪中也表示,用戶應該仔細檢查EOS存在爭議的賬戶暫停過程。“我確實認為,社區(qū)將應該仔細審查(第十五條),了解受治理的區(qū)塊鏈應該如何回應社區(qū)意愿。”施萊辛格說。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控熑危?br>
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
