区块链

大辩论:安全漏洞会让EOS归零吗?

字号+ 作者:香蕉妹妹 来源:网络整理 2018-07-12 我要评论

大辩论:安全漏洞会让EOS归零吗?,360 区块链 黑客 网络安全 eos

5月29日,360安全卫士官方微博称360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,并将该类漏洞上报了EOS官方。EOS创始人BM在30日凌晨回应称,360报告中提到的漏洞早已被EOS修复,并表示360的行为是在制造恐慌。

此事孰是孰非,一时难以说清。5月30日下午,大咖云集的“3点钟霞客行&踢馆护馆群”里,几位技术极客和金融大牛对此事展开了热烈的讨论,起风财经对各位专家的观点进行了精编整理。

Roy Li:当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重

Roy Li,Ruff 创始人、著名黑客、网络安全专家

ETH前段时间爆了一个漏洞,就是全节点客户端类似残留的登录信息被远程利用,这下黑客不用私钥也可以盗币。当时这个漏洞出来后BM的评价是:我早就知道了,他们没有设置本地访问限制而已。而这次360发现的漏洞,BM的回应大家也都看到了,基本就是上帝模式的说法。

其实安全漏洞虽然在区块链里危害很大,但我本身不支持喊归零的做法,但我也不支持BM这种完全无视,认为安全公司找茬借机炒作的阴谋论。

区块链里潜在的安全问题是很多的,比如智能合约,尤其是图灵完备级别后,代码级漏洞是容易发生的。图灵完备代表足够高的底层自由度,这个自由度会导致一些问题,比方说执行参数的时候执行到了逻辑(逻辑当参数传进去),或是字段边界控制不力导致溢出,这问题如果用分叉解决,会有很高的成本。

另外,区块链上网络同步,共识节点也要承载安全上的压力,而节点本身一旦被攻击,恶意行为就有包括拒绝打包、或是对轻节点的欺诈(轻节点不存储全部区块信息)的可能。

我在另一个群里仔细分析过EOS白皮书,DPOS会牺牲一些安全性,但具体效果如何还要长期跑下去才能验证。比如说以前BIP141里的紧凑欺诈证明,后来证明POW的机制使得SPV足够安全,但这招在DPOS里可能会比较头疼。

另外,EOS鼓励打包者调整合约尽可能并行执行,以获得更高奖励,这里面会不会产生一些看似“善意”的恶意行为谁又知道呢,你释放一丁点的自由度出去都会增加作恶的风险。总之,这只是开始,暴风雨还没来呢,这都激动了,以后咋办。

一条公链的诞生到成熟,一定是千疮百孔的,即便是中心化的系统如支付宝也是久病成医的。所以我不认为360存在所谓技术上的踢馆,但是面对这个事双方的态度很关键。

还有,ETH漏洞其实已经被黑客恶意利用一段时间了,已经造成了损失。如果对安全的重视和态度不够,就会扭曲黑帽子和白帽子的平衡。攻守平衡被打破,未来的问题只会越来越多。

讲个故事,当年有个黑客入侵了MySpace , 将入侵过程发邮件告诉MySpace的管理层,结果MySpace报警抓人。后来又有个黑客,入侵了Facebook,同样将过程提交给了ZuckerBerg,结果被招进了公司,成为了早期员工。这两家公司的命运,大家都知道了。

网络安全是专业的人干专业的事,应该尊重技术人员。怎么才算叫尊重?喊一句all in区块链,然后冲下场发一个空气币,那不叫尊重区块链。网络安全也不是你搞个奖金池,1万美金一个漏洞,高危哦。

我记得曾经乌云在的时候,那时候真的很有逼格,有个金融公司托我去找剑心,要求不要爆漏洞,他们已经修复了。我说不可能的,我也不会帮你去求情,因为当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重。我记得那次还被威胁,我说我是吓大的。

这么说吧,360有没有过漏洞?一样有过 一样被爆过。2011年我在微博上就爆过360的漏洞,老周拉谭晓生跟我聊的。老谭态度特别好,执行力很强。老周并没有因此要求我不要说,或是骂我炒作。

我再说了,竞选EOS节点的,你们以为开一台高防服务器,就等着挖币了吗?你们能扛多大的攻击? 安全措施有方案吗?渗透测试哪家做?

我对BM不评价,最多只是觉得他对ETH事件有点看法。不过社区的反应比较过激吧,非黑即白。只因为你觉得360黑了EOS所以你就开始歪曲事实了,这种贬一个团队捧一个团队的作法合适吗?我不是360的人,我也跟360没有任何利益关系,但我坚决反对煽风点火喊归零的,也反对阴谋论的。

区块链安全隐患多了去了,适当的PR是值得鼓励的,不要上升到什么角度,或是炒作、蹭热点、阴谋论。

还有,不是找一家供应商帮你做个全案就万事大吉。BAT的安全团队实力储备是何等强,还是三天两头要救火。EOS临近上线,在安全方面的测试也许需要更完备一些,否则主网上线后损失会更大。

Zformular:不应该盲目崇拜BM及其团队

Zformular:EOS的超级节点EosBepal 技术负责人

EOS技术社区≠BM团队及他所在的Block.one公司,EOS整个技术社区包括普通的开发者、区块链技术公司、安全公司(我认为慢雾、360都属于)等,这个技术社区里绝大多数人是希望并推动EOS去BM化,当EOSIO上线后,由整个技术社区来推动后续的EOS发展

公链的安全是真枪实弹需要时间来验证,更需要公链的技术社区来共同推动。目前EOS的安全性面临几个问题:

第一、超级节点被DDOS的风险。

第二、前期客户端代码致命漏洞。

第三、技术社区过于集中专制化。

第四、整体社区安全意识薄弱。

对于这四个问题,社区成员共同给出了很多合理的方案,其实整个技术社区是有由很大一部分人共同努力推动的,我认为技术社区心态应该更开放,接纳更多的开发者

已经进入EOS技术生态社区的技术人员,不应该盲目崇拜BM及其团队,大家应该站在更利于EOS发展的角度思考并努力推动EOS技术迭代。极端情况下,我个人认为分叉不失为一种解决方式,这一点涉及社区自治,我思考的也不深。参与到EOS主网启动的各个节点技术负责人,应该有比我更深的理解。

Alex:360的入局可以为EOS和其它公链保驾护航

Alex :YOYOW团队成员,HelloEOS社区成员

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 争议EOS(2):超级节点 ,平民玩不起的游戏

    争议EOS(2):超级节点 ,平民玩不起的游戏

  • 2018数博高端《对话》全方位剖析区块链

    2018数博高端《对话》全方位剖析区块链

  • 2018全球区块链技术发展论坛(GBF)“区块链与社会治理”专场在数博会圆满落幕

    2018全球区块链技术发展论坛(GBF)“区块链与社会治理”专场在数博

  • 比特大陆宣布战略投资DoraHacks 打造全球极客社区

    比特大陆宣布战略投资DoraHacks 打造全球极客社区

网友点评