私匙暴露財富或將歸零,EOS投票的風險有多高?區塊鏈
掌握著私鑰的我們,到底該信任誰?
由于在EOS投票過程中必須使用代幣私匙,而而一旦私鑰丟失,這些財富將永遠消失。事實上,EOS 主網上線期間,也確實發生了 EOS 私鑰被黑客偷走的事件,被盜 EOS 數量超過百萬。
經過數周的動蕩之后,EOS 主網在獲得所需的 15% 的最低票數后正式開始生效。目前,已經有超過 1.7 億張選票被用于確定將維持區塊鏈的 21 個實體。
而此前,EOS 主網絡啟動兩次暫停。第一次是因全球超過 1/3 的參會節點投反對票推遲,第二次因投票參與率尚未達到主網上線所需的 15%。
私鑰投票
由于 EOS 的基本思路在于幫助用戶實現自助治理,因此作為個人及企業的投資方必須率先采取行動,通過精心設計的全球投票機制選擇他們希望在網絡上完成的交易。
但上述構思仍然只是構思。事實上,EOS 區塊鏈身陷“已啟動”與“實際可用”間的中間地帶,接下來需要由用戶付諸努力方可幫助其發揮作用。
問題在于,要想參與投票,用戶們首先需要持有自己的代幣——而這一過程需要使用私鑰,需要使用敏感的加密字符串以證明自己的資金歸自己所在。而一旦私鑰丟失,這些財富將永遠消失。因此,雖然用戶渴望參與其中,但他們顯然非常擔心自己的投票工具可能導致其資產處于風險當中。
一位 EOS 用戶在接受采訪時表示,“EOS 啟動當中的最大‘缺失’,在于其未能意識到大部分 EOS 投資者并不愿意使用自己的私鑰進行投票。”
正如 CoinDesk 網站所指出,目前惟一受到第三方安全審查保護的投票軟件為 CLEOS,這是一款由 EOS 締造者 Block.one 發布的命令行工具。然而,由于該工具對用戶的技術能力提出了較高的要求,因而迫使相當一部分 EOS 代幣持有者不得不選擇其它不太可信的軟件。
事實上,在社區論壇當中,除了對 EOS 相關第三方軟件的不信任問題,用戶們對參與此次投票也抱著嚴重的困惑情緒。
雖然已經開發出多款軟件以解決這一問題,但仍有不少用戶對第三方安全審計的缺失表示擔心。此外,即使是開發者投入充分的熱情與誠信態度,欺詐與攻擊風險仍然客觀存在。
投票工具 Tokenika 首席開發者 Krzysztof Szumny 在采訪當中表示,“無論何時,只要技術方案對用戶而言太過復雜,那么壞人就會出現,并嘗試利用這些弱點。”也就是說,有證據表明這種擔憂可能拖慢投票的實施速度,這反過來又將導致 EOS 實驗步伐達不到預期。截至本文發稿時,相較于啟動區塊鏈的 1.5 億份必要投票,目前的投票完成比例僅為 37.35%。
正如一位 EOS 用戶在評論中寫道:
“可以肯定的是,很多人都跟我一樣,不會在新錢包擁有 100% 安全保障之前將私鑰放置于其中。”
安全狀況
要了解事情的全貌,我們首先需要弄清為何需要使用私鑰在 EOS 上投票。
使用任何 EOS 投票軟件都需要用到私鑰,其原因有二——第一,驗證投票是否合法 ; 第二,將該投票與用戶持有的資產相關聯,從而確定其投票結果的權重。
區塊鏈項目 Bancor 首席技術官兼聯合創始人 Yudi Levi 表示:“無論是立足您的錢包、命令行工具還是其它方案進行投票,您都需要使用私鑰。”順帶一提,Bancor 區塊鏈項目于 2017 年 6 月進行了大規模首次代幣發售,并一直在努力爭取區塊生產候選方案的地位。
Bancor 項目還為 LiquidEOS 這一新型區塊鏈開發出投票工具。
從本質上講,利用私鑰進行投票的過程相當于交易處理簽名——要求用戶發送等同于標準加密交易的同類簽名。
然而,這一方案有可能引發私鑰暴露問題。
在接受采訪時,區塊鏈生產候選方案兼投票軟件供應商 EOS Canada 公司聯合創始人 Alexandre Bourget 指出,目前的各類投票工具擁有著參差不齊的安全狀況——從可信到高度危險皆有存在。
一方面,像 CLEOS 這樣的命令行工具在私鑰暴露方面風險水平最低。但隨著該軟件添加更多代碼以提供用戶友好型界面,其保護難度也變得越來越高。在另一方面,代碼與互聯網越接近,私鑰被攔截的可能性也就越高。
Bourget 在采訪中表示,“你的網站會要求你導入自己的私鑰,并利用其完成后續操作”。他同時補充稱:“沒錯,這些網站也許完全合法,但這只是‘也許’。因為我們已經無數次看到很多善意的網站在毫無察覺的情況下遭到黑客入侵。”
同樣需要注意的是,EOS 代幣持有者本身也對此抱有警惕情緒。Bourget 強調稱,大多數 EOS 用戶來自代幣公開發售,因此其很可能并沒有對 EOS 賬戶中的訪問控制權進行重新配置。換言之,盡管他們可以創建多份私鑰來管理賬戶,但目前大多數用戶的代幣可能仍與單一私鑰相對應。
對于黑客而言,這無疑相當于為釣魚攻擊敞開了大門——字母加數字字符串正是最易于通過釣魚攻擊獲取的信息。
最佳實踐
所謂最佳實踐,就是指 EOS 持有者可在投票過程中用于保護自己的方式。
舉例來說,Bourget 建議用戶們重新配置自己的 EOS 賬戶設置以生成可用于投票簽名,但同時又不會與實際錢包對接的私鑰。
雖然目前關于這種作法的說明文件還比較有限,但 Bourget 暗示稱 EOS Canada 可能很快就會發布一段視頻劉鵬。不過在此之前,用戶還有其它一些更為簡單的措施選項。
Bancor 項目的 Levi 指出,“如果大家選擇使用那些能夠下載并以本地方式運行在個人計算機上的投票工具,那么這些游離于瀏覽器之外的軟件將確保大家免受工具欄、僵尸網絡以及其他不良行為者的操縱。”
此外,他還鼓勵人們使用大型廠商提供的工具。他表示:“因為這些大型企業面臨著更高的潛在風險。”
舉例而言,盡管 Scatter、Greymass、LiquidEOS 以及 EOS Canada 的 EOSC 等開源投票工具還沒有接受第三方審計,但這些企業或項目一直在努力控制私鑰暴露的可能性,同時小心謹慎地記錄整個執行流程。
如前所述,由于在網絡上使用私鑰會增加其被盜用的風險,因此 Tokenika 設計出一款離線投票工具,確保僅在發布投票記錄時才接入互聯網。
Tokenika 公司的 Szumny 在采訪中表示,“為了最大程度提高安全性水平,我們強烈建議大家不要在接入網絡的情況下,在設備上使用自己的私鑰。”
當然,就算始終保持離線,用戶仍有可能在自己的設備上激活本地惡意軟件。
Bourget 解釋稱,“了解二進制文件的來源及其構建者將非常重要,因為其中存在風險,絕不能抱有僥幸心理。”
因此,Szumny 建議 EOS 持有者不要貿然參與實驗,而應謹慎使用自己的私鑰并逐步參與到投票過程當中,以免受到錯誤影響。
這位開發者作出如下總結:“晚投票比早投票更好,最重要的是千萬不要在投票過程中犯下任何錯誤。”
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
