来源:起风财经
整理:马慧敏
5月29日,360安全卫士官方微博称360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,并将该类漏洞上报了EOS官方。EOS创始人BM在30日凌晨回应称,360报告中提到的漏洞早已被EOS修复,并表示360的行为是在制造恐慌。
此事孰是孰非,一时难以说清。5月30日下午,大咖云集的“3点钟霞客行 踢馆护馆群”里,几位技术极客和金融大牛对此事展开了热烈的讨论,起风财经对各位专家的观点进行了精编整理。
Roy Li:当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重
▲Roy Li,Ruff 创始人、著名黑客、网络安全专家
ETH前段时间爆了一个漏洞,就是全节点客户端类似残留的登录信息被远程利用,这下黑客不用私钥也可以盗币。当时这个漏洞出来后BM的评价是:我早就知道了,他们没有设置本地访问限制而已。而这次360发现的漏洞,BM的回应大家也都看到了,基本就是上帝模式的说法。
其实安全漏洞虽然在区块链里危害很大,但我本身不支持喊归零的做法,但我也不支持BM这种完全无视,认为安全公司找茬借机炒作的阴谋论。
区块链里潜在的安全问题是很多的,比如智能合约,尤其是图灵完备级别后,代码级漏洞是容易发生的。图灵完备代表足够高的底层自由度,这个自由度会导致一些问题,比方说执行参数的时候执行到了逻辑(逻辑当参数传进去),或是字段边界控制不力导致溢出,这问题如果用分叉解决,会有很高的成本。
另外,区块链上网络同步,共识节点也要承载安全上的压力,而节点本身一旦被攻击,恶意行为就有包括拒绝打包、或是对轻节点的欺诈(轻节点不存储全部区块信息)的可能。
我在另一个群里仔细分析过EOS白皮书,DPOS会牺牲一些安全性,但具体效果如何还要长期跑下去才能验证。比如说以前BIP141里的紧凑欺诈证明,后来证明POW的机制使得SPV足够安全,但这招在DPOS里可能会比较头疼。
另外,EOS鼓励打包者调整合约尽可能并行执行,以获得更高奖励,这里面会不会产生一些看似“善意”的恶意行为谁又知道呢,你释放一丁点的自由度出去都会增加作恶的风险。总之,这只是开始,暴风雨还没来呢,这都激动了,以后咋办。
一条公链的诞生到成熟,一定是千疮百孔的,即便是中心化的系统如支付宝也是久病成医的。所以我不认为360存在所谓技术上的踢馆,但是面对这个事双方的态度很关键。
还有,ETH漏洞其实已经被黑客恶意利用一段时间了,已经造成了损失。如果对安全的重视和态度不够,就会扭曲黑帽子和白帽子的平衡。攻守平衡被打破,未来的问题只会越来越多。
讲个故事,当年有个黑客入侵了MySpace , 将入侵过程发邮件告诉MySpace的管理层,结果MySpace报警抓人。后来又有个黑客,入侵了Facebook,同样将过程提交给了ZuckerBerg,结果被招进了公司,成为了早期员工。这两家公司的命运,大家都知道了。
网络安全是专业的人干专业的事,应该尊重技术人员。怎么才算叫尊重?喊一句all in区块链,然后冲下场发一个空气币,那不叫尊重区块链。网络安全也不是你搞个奖金池,1万美金一个漏洞,高危哦。
我记得曾经乌云在的时候,那时候真的很有逼格,有个金融公司托我去找剑心,要求不要爆漏洞,他们已经修复了。我说不可能的,我也不会帮你去求情,因为当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重。我记得那次还被威胁,我说我是吓大的。
这么说吧,360有没有过漏洞?一样有过 一样被爆过。2011年我在微博上就爆过360的漏洞,老周拉谭晓生跟我聊的。老谭态度特别好,执行力很强。老周并没有因此要求我不要说,或是骂我炒作。
我再说了,竞选EOS节点的,你们以为开一台高防服务器,就等着挖币了吗?你们能扛多大的攻击? 安全措施有方案吗?渗透测试哪家做?
我对BM不评价,最多只是觉得他对ETH事件有点看法。不过社区的反应比较过激吧,非黑即白。只因为你觉得360黑了EOS所以你就开始歪曲事实了,这种贬一个团队捧一个团队的作法合适吗?我不是360的人,我也跟360没有任何利益关系,但我坚决反对煽风点火喊归零的,也反对阴谋论的。
区块链安全隐患多了去了,适当的PR是值得鼓励的,不要上升到什么角度,或是炒作、蹭热点、阴谋论。
还有,不是找一家供应商帮你做个全案就万事大吉。BAT的安全团队实力储备是何等强,还是三天两头要救火。EOS临近上线,在安全方面的测试也许需要更完备一些,否则主网上线后损失会更大。
Zformular:不应该盲目崇拜BM及其团队
▲Zformular:EOS的超级节点EosBepal 技术负责人
EOS技术社区≠BM团队及他所在的Block.one公司,EOS整个技术社区包括普通的开发者、区块链技术公司、安全公司(我认为慢雾、360都属于)等,这个技术社区里绝大多数人是希望并推动EOS去BM化,当EOSIO上线后,由整个技术社区来推动后续的EOS发展。
公链的安全是真枪实弹需要时间来验证,更需要公链的技术社区来共同推动。目前EOS的安全性面临几个问题:
第一、超级节点被DDOS的风险。
第二、前期客户端代码致命漏洞。
第三、技术社区过于集中专制化。
第四、整体社区安全意识薄弱。
对于这四个问题,社区成员共同给出了很多合理的方案,其实整个技术社区是有由很大一部分人共同努力推动的,我认为技术社区心态应该更开放,接纳更多的开发者。
已经进入EOS技术生态社区的技术人员,不应该盲目崇拜BM及其团队,大家应该站在更利于EOS发展的角度思考并努力推动EOS技术迭代。极端情况下,我个人认为分叉不失为一种解决方式,这一点涉及社区自治,我思考的也不深。参与到EOS主网启动的各个节点技术负责人,应该有比我更深的理解。
Alex:360的入局可以为EOS和其它公链保驾护航
▲Alex :YOYOW团队成员,HelloEOS社区成员
BM是一位技术大牛,我并不怀疑他的技术能力,至于这个BUG其实任何项目都可能遇到,同时问题的提出和修复的这个过程也是开源项目的魅力所在。发现了问题,社区提出来,然后进行修复,代码是公开的,比闭源项目更容易找到问题所在,也能更快速修复。
而且就这个问题而言,一般是不可能获取ROOT权限的,每个BP也应该有自己的安全策略。就这个问题而言也就是说控制整个节点的可能性并不大,再且要同时控制15个超级节点,这个难度更大,实现的可能性那么小,所以BM也说这是FUD。所以这个只能说是婆说婆有理吧。
EOS还在开发过程中,之前提的ISSUE遇到的问题还更大更多。其实,360这些大厂入局肯定是好事,为EOS和其它公链项目保驾护航,毕竟开源项目的精神也在这。
陈九:EOS的壮大不仅要菩萨低眉,还要金刚怒目
▲陈九,陈九金服创始人,BLOCK资本创始人
有BUG太正常,要求越高BUG一定会越多,这就是BTC的聪明之处,坚守简单原则,但是EOS的战略方向已经在很多社区达成共识,无非是如何遇鬼杀鬼的问题,这里面涉及到两点:
第一点,逻辑问题。
逻辑又分技术逻辑和商业逻辑,在技术逻辑上我觉得EOS其实已经做的很有前瞻性了,不求完美,求单点优势凸现,而商业逻辑这块从目前大家的热议,以及周教主的加入无疑已经从事实上论证了它的成功。
第二点,落地问题。
大家都说BM吹牛,高并发不靠谱,很多国内公链发起人在这点达成空前共识与团结,而我要说的是大家不要把方向和现实混为一谈,确实它现在离目标远得很。
我拿波场举例吧,波场我一开始从务实角度并不看好,觉得就是假波、硅胶波。可人家商业运作很成功,融了这么多钱,开始吸纳真正的技术大牛、运营大牛,慢慢给往真的靠了。
再来说比特币。
比特币在当初极客阶段的时候,大家说它是空气,因为都在探索阶段。但是大家现在一定要明白,在区块链这个生态里,脱离技术纯谈市场和脱离市场纯谈技术都是耍流氓,它是一个高度结合体。技术是根基,市场是脚或翅膀,不懂运营一样寸步难行,但是没技术,坠地是绝对的。
EOS其实就是这样一个先行者,在社区基础上相信大家已经没有异议,目前无非关心的是技术逻辑和技术漏洞问题。
我觉得确实把宝全押到BM一个人身上不太合适,风险太大,他压力也大。EOS的壮大其实需要更多的周教主,不仅要菩萨低眉,还要金刚怒目。大家都是社区共建者,无非就是怎么把这目标实现,过程中有问题太正常。
曹辉宁:我不看好EOS,但求同存异
▲曹辉宁,长江商学院金融学教授
我问大家四个问题:
1、区块链技术到底给社会带来了什么?能解决哪些社会痛点?有哪些缺陷?
2、在哪些领域区块链技术能够比中心化的技术更有用,占有一席之地?
3、EOS想解决哪些问题,和已有的区块链技术相比,有哪些优势,有哪些致命的漏洞?
4、 EOS和已有的中心化机构相比,在哪些领域有哪些优势?
我就每个问题发表一下自己的想法:
1、区块链通过密码技术带来了安全和信任,其代价是速度慢,资源浪费和规模化很低。在信任缺乏的领域有其优势,比如非洲的数字货币,全球的中小微企业融资、跨境支付等方面。
2、在目前的状况下,大多数情形,区块链技术相比中心化机构是没有优势的。但是在中心化机构道德风险泛滥,同时不对称信息巨大时有可能有优势。由于目前监管的原因,大的中心化上市公司不敢发币,所以区块链公司通过监管套利可以有一点活动的空间,但是这个监管套利不是内生的,也不会持久。
3、EOS通过简单明了指定21人中一人挖矿,避开了大量的计算和能耗,从而增加了速度,而且降低了能耗。但代价是寄希望于这21个节点大多数都是好人,所以不靠算法,又靠好人来承担信用,这个非常不可靠。好人不好找,好人会变坏,21个节点会被黑客挟持、会被黑客攻击,这都是潜在的风险。
4、和中心化机构相比,EOS有21个节点,中心化有一个节点。21个节点有安全的,也有不安全的;有老实的,也可能有一心想着捞钱甚至和黑客合作坑人的。EOS和中心化机构相比看不出有什么优势,可信度没有增加,效率也不会超过中心机构。
EOS并不能通过分布式记账增加信用。EOS目前能够炒作的就是因为发币没有受到监管,所以能够通过发币带来的激励机制,引发全球性流动,汇集信息流,带来一定的价值,这不是靠计算机科学来增加信用,而是靠中心化机构无法发币所带来的监管套利。如果中心化机构可以发币,可以比大多数区块链做得更好,比如中国政府、美联储、腾讯等。EOS无法增信,所以是伪区块链。
综上所述,我不认可EOS。
EOS根本不需要21个节点,BM一个人挖矿足矣。我认为前二十名数字货币中,60%的都是为了发币而发币,能解决社会痛点的很少。而仅仅靠发币,大概只能支撑一两个数字货币。
中本聪放弃自己的影响力,把区块链带到无我之境,是大格局,高境界。中心化的问题在于中心可能会做恶。我们如何在一个充满恶人的世界建立信任,这是中本聪想解决的问题。
