上月底,EOS主网临近上线时被360曝出存在重大漏洞。随后,康奈尔大学教授Emin Gün Sirer批评EOS开发者并未及时寻求共识协议专家的帮助。尽管EO
上月底,EOS主网临近上线时被360曝出存在重大漏洞。随后,康奈尔大学教授Emin Gün Sirer批评EOS开发者并未及时寻求共识协议专家的帮助。
尽管EOS主网已经上线,但Sirer和Nick Szabo等加密货币领域专家仍在批判EOS的代码和中心化问题。
Sirer:EOS的问题会越来越严重
5月底,奇虎360技术博客公布了与EOS首席技术官Daniel Larimer的对话,并且公布了一个可能影响EOS超级节点的漏洞:
在解析WASM文件时,我们发现并成功地利用了EOS的缓冲区溢出写入漏洞。
通过这个漏洞,攻击者可以在节点服务器解析合约后,将恶意智能合约上传到节点服务器,节点服务器就会解析这个恶意合约,然后恶意合约就会在服务器上被执行,再控制该节点服务器。
在控制了节点服务器之后,攻击者可以将恶意合约打包到新的块中,并进一步控制EOS网络的所有节点。
该报告还提到,漏洞发现的时间为5月11日,360安全团队于5月28日与EOS团队进行了沟通,EOS团队修复了GitHub上的漏洞,5月29日,360注意到该漏洞并未修复完成。
EOS代码库的漏洞导致这一区块链网络引来了大量的批评声。知名的加密货币研究员以及康奈尔大学教授Sirer说,EOS的情况会“越来越糟”。他强调,EOS推出的找bug奖励计划并不实际,无法发现这一协议概念性和结构性的错误。
EOS的找bug奖励计划只能用于找出简单的代码错误,无法应对有关协议的概念性错误。各位EOS团队的朋友,你们有没有寻求共识协议专家的帮助?你们知道不必自己创造加密货币,那么为什么要制定自己的共识协议?这就像是没有发明手术刀就直接去做脑部手术。
Szabo:EOS宪法就是安全漏洞
主网上线之后,EOS开发者又受到了Szabo的批评。他说EOS的中心化层面导致该项目易受攻击,并且存在安全漏洞。
在EOS系统中,小部分陌生人能够冻结用户资金。基于EOS协议,你必须信任一个‘宪法’组织,其成员很可能是你完全不认识的人。从社会层面来看,EOS‘宪法’不可扩展的,是一个安全漏洞。
Szabo指的是EOS仲裁机构有权没收以及冻结用户账户的行为。就连EOS New York的联合创始人Rick Schlesinger也建议用户仔细研究宪法中与冻结账户有关的条款。
我认为社区应该仔细研究(条款15)。这就是我们存在的原因——试验这项新兴技术,并且了解一个在治理中的区块链如何回应社区的意愿。
关键词: 宪法安全漏洞Nick
