EOS自啟動漏洞賞金計劃以來,上半年賞金已超10萬美元。
據IMEOS消息,近日,區塊鏈安全公司PeckShield發現部分EOS用戶的秘鑰存在嚴重的安全隱患,部分秘鑰允許用強度較弱的助記詞,很容易存在“彩虹”攻擊,並引發賬戶數字資產被盜。
其實自今年5月以來,EOS就屢遭負面新聞纏身。“史詩級”漏洞、百萬私鑰被盜、主網癱瘓……安全問題似乎已經成為了EOS很大的硬傷。
對於這個1年募資40億美金的明星項目,支持者認為它開啟了區塊鏈3.0時代,反對者將其視為史上最大的空氣幣、傳銷幣,存在嚴重的安全隱患。
更有區塊鏈研究員預言,明年將會有一場大規模利用EOS漏洞的黑客攻擊。“考慮到開發人員處理關鍵安全問題的方式,這一攻擊的出現將很可能是不可避免的。”
攻擊必將到來,而且不可避免?
EOS安全事件頻發的根源究竟是什麼?火星財經(ID:hxcj24h)將其主要隱患盤點如下,涉及開發語言、安全審計、共識機制、創始人和市場營銷5個方面:
開發語言缺乏防護
受安全問題影響,EOS超級節點競選推進緩慢。
競選期間,荷蘭黑客因發現EOS的9個漏洞,獲9萬美元獎金,而百萬私鑰被盜的醜聞再度為EOS蒙上了一層陰影。
直到北京時間6月15日凌晨1點50分,在最終達到15%的投票率以後,EOS主網才正式被激活。但過了不足48個小時,EOS再現嚴重故障,暫停出塊,修復時間持續近5個小時。
基於EOS“打地鼠式”的漏洞修復模式,康奈爾大學區塊鏈研究員EminGünSirer在Twitter中直接開炮:明年將會有一場大規模利用EOS漏洞的黑客攻擊。
這一預言能否從應驗我們不得而知,但部分專家認為,EOS的開發語言或許早已為黑客攻擊埋下了伏筆。
在接受財經網採訪時,星雲鏈聯合創始人兼CTO鍾馥百表示,EOS的開發語言是C/C++,而不是以太坊等其它公鏈所採用的安全性較好的Golang語言。該開發語言的最大優勢就是易操作,例如可以直接操作機器和內存,能嵌入彙編代碼,抽象度低,性能較高,但最大的問題是缺乏安全防護設計,使其開發的程序存在顯著的安全隱患,容易造成緩衝區溢出攻擊、非法指令等問題。
這與火幣區塊鏈研究院的觀點不謀而合。在360爆出EOS“史詩級”漏洞後,該研究院發文稱,C++允許程序員通過指針等方式進行極為自主的控制及使用,並不強制檢查數組邊界等條件。但也正是因為這種靈活性,C/C++程序常會因為內存管理的複雜性而出現內存洩露、宕機或內存越界等問題,造成緩衝區溢出攻擊,這在大型工程上尤其常見。
文章還指出,早在1988年就存在利用緩衝區溢出進行攻擊的行為。據估計,它一經出現便影響了互聯網上10%的計算機,造成約10萬至100萬美元的損失。此後30年間,很多著名的攻擊事件都採取了緩衝區溢出的方式。
結合360公佈的EOS漏洞,如果能將風險控制在單機範圍內,那對全局來說影響還是相對可接受的。但正是由於惡意代碼可以是一個區塊鏈上的合約,因此EOS將合約打包成區塊後會在整個網絡中傳播,使得所有節點均可被此惡意代碼控制,整個網絡都將受到致命影響。
安全審計相對滯後
如果說開發語言暗藏隱患,那麼EOS在主網上線前未公開披露安全審計結果,似乎將其對安全問題的無視直接擺到了檯面。
據技術開發領域專家介紹,在業內像微軟等科技巨頭都會在代碼開發完成後進行安全審計,這實際上已經成為了一種“慣例”,Ethereum、Nebulas等公鏈項目都曾在主網上線前開展了此項工作。
如果從結果導向看,360之所以能夠爆出“史詩級”漏洞,或許正是EOS沒有做安全審計的結果。而EOS宣佈上線後才開始讓各社區進行安全審計,進一步印證了這一猜測。
在星雲鏈聯合創始人兼CTO鍾馥百看來,這是不負責任的行為,因為業內通行的做法都是上線前做安全審計,這是對持幣人負責。EOS全面上線後才開始檢查漏洞和問題,等於把風險直接暴露,讓持幣人承擔所有的風險和後果。?
360核心安全事業部安全研究員彭峙釀告訴火星財經(ID:hxcj24h)記者,就目前Github上EOS漏洞修復情況和進度來看,可以推測EOS項目開發前期缺乏有效的安全開發生命週期管理,在安全風險評估、攻擊面減約、代碼審計和安全測試等方面前期準備都不足。
在覆盤EOS安全事件時,火幣區塊鏈研究院指出,這些問題完全可以通過有效的代碼安全審查機制來避免。區塊鏈作為一個分佈式的去中心化系統,代碼一旦部署將很難更新,需通過硬分叉或者軟分叉來對代碼進行升級,成本不可謂不高,所以在項目發佈之前,充足的測試和代碼審核變得十分關鍵和必要。
DPOS機制易遭攻擊
EOS引以為傲的DPOS共識機制同樣飽受逅病。
眾所周知,比特幣平均每秒交易7筆,以太坊平均每秒交易35筆,而EOS意在打造區塊鏈行業的操作系統,通過並行計算實現百萬級TPS。
支撐這一效果的是共識機制的改變。不同於POW(工作量證明)和POS(權益證明),EOS採用DPOS,它類似於代理人權益證明共識算法,設21個“超級節點”驗證交易,這些節點由全鏈根據一幣一票投票產生。
如此一來,EOS的交易速度提升了,也減少了很多挖礦能耗,但這一創新性的設計卻引來了不少非議。
外界普遍認為,EOS的21個超級節點很容易被黑掉,存在兩方面的安全隱患:一是內部作惡,21個節點存在共謀可能;二是EOS暴露了21個超級節點,似乎更易遭到外部攻擊,一旦21個超級節點被控制,就等於控制住了EOS,這與區塊鏈所追求的去中心化和安全性似乎是相違背的。
此外,EOS在抵抗世界各地的審查方面也會存在問題,比如因為節點相對集中,一旦被個別國家政府要求關閉,必將面臨較大風險。
早在EOS主網上線前,BM曾發推特展示DPOS比比特幣、以太坊更具去中心化優勢,但隨即遭到以太坊創始人V神回懟。V神認為21個超級節點並不是21個不同實體,節點之間可能存在內在聯繫的共謀。
中關村區塊鏈產業聯盟秘書長朱佩江認為,相對於POW(工作量證明法)和POS(權益證明法)兩種共識機制,DPOS在設計上確實會讓攻擊者更容易攻擊。但他同時表示,21個節點的設置仍然是在保持多節點的優勢,被一家掌控的可能性低,節點作惡仍然可以通過投票指認出來。
結合近期發現的EOS安全問題,360核心安全事業部安全研究員彭峙釀稱,這大多數是軟件實現上的漏洞,是所有軟件項目都會面臨的問題,並非EOS獨有,也非公鏈項目獨有,與DPOS機制無關,也並非區塊鏈技術本身的缺陷。不過,由於公鏈項目通常與數字貨幣掛鉤,一旦出現安全問題可能會造成很嚴重的後果,比如網絡崩潰、用戶資產損失、密鑰洩露、節點被控制等。
創始人BM不懂安全
所有安全問題的根源,始終繞不過創始人BM。
EOS是BM發起的第三個項目。這位畢業於佛吉尼亞大學計算機系的IT男,曾成功開發了BTS和Steemit兩個市值進入TOP30的區塊鏈項目。除此之外,他還是DPOS(權益股份制證明)共識算法的創建者,也是自治化組織DAO的創建者。
在那副廣為流傳的區塊鏈撲克牌中,黑桃A代表的正是BM,足見其江湖地位。
然而,結合BM在EOS安全問題上的表現,部分業內人士認為這位“技術大神”並不懂網絡安全。
5月29日,360爆出EOS存在“史詩級”漏洞,可完全控制虛擬貨幣交易。BM隨後在電報群中發佈消息,稱將獎勵發現並提交Bug的人,“提供有價值的漏洞會獲得1萬美金的報酬”。
對於360報告中提到的漏洞,他表示早已修復,且早於報告發布時間,而360的行為是在製造恐慌,對於任何挑起市場恐慌的行為將取消其獎勵資格。有專家認為,這種態度這是不敢正視問題,對技術極度不尊重。
Dfund創始人趙東直接在朋友圈開懟:“不管360什麼目的(我們不要懷疑別人做事的動機),我至少確定一點:根據GIthub代碼提交時間可知,BUG修復在360向BM彙報BUG之後而非之前。BM在睜著眼睛說瞎話,人品極其不可靠。”
據FN資訊7月11日報道,EOS自啟動漏洞賞金計劃以來,上半年賞金超10萬美元。黑客Guido Vranken最近通過發現EOS協議中的漏洞賺取了12萬美元,但對於Vranken團隊披露的系統中的其它錯誤,EOS仍未將其公開。“EOS似乎存在一些很嚴重的漏洞,並缺少全職的安全團隊。”
北京知道創宇創始人、著名安全專家趙偉在接受媒體採訪時表示,自己與團隊在BM的溝通中發現,BM會混淆一些安全基礎性的概念,其本人在安全技術領域並不專業。
持相同觀點的還有360安全人員。在接受火星財經(ID:hxcj24h)採訪時,安全人員透露,在團隊提交漏洞並跟BM溝通時,會發現他基本上不懂安全,對安全的認知比較差。
過度包裝暗藏風險
至於EOS募資的瘋狂程度,或許連BM也始料未及。
產品尚未正式上線,卻在一年內瘋狂攔金40億美元,這與EOS的過度包裝和炒作不無關係。除了被冠以“區塊鏈3.0”的名號外,資本大鱷、交易所巨頭、溫州炒房團、礦場土豪等爭相競選超級節點,也讓EOS賺足了眼球。
但如此大規模的募資究竟流向何處?伴隨市場疑惑的此消彼長,躲在暗處的“危險分子”或許覬覦已久。
專注於區塊鏈項目投資的大河資本合夥人李榮閣表示,EOS之所以頻頻爆發安全問題,除了項目本身採用了很多創新的實現方案,以及公鏈項目要公開代碼的原因外,也與項目強大的社區運營能力和宣傳造勢相關。
在他看來,EOS沒有上線就能取得大量投資人的認可,得到超高的市值,必然會引起各方面的關注,其中也包括安全專家和黑客,因此係統更容易被爆出各種漏洞。
他同時強調,早期項目的開發進度應該與知名度互相匹配,這對項目團隊來說更容易形成一個良性的外部環境,如果社會關注度過高,很容易形成“傷仲永”的後果。
值得注意的是,EOS社區負責人ThomasCox在主網癱瘓後的發言也驗證了其關注度過高。他表示,任何軟件都有漏洞,BP和工程師修復主網並使它重新上線預示著未來會非常好,比特幣和以太坊初始階段,由於沒有人用,所以沒有人理會它們的漏洞。
雖然有以上種種硬傷,但並非無藥可治。據火星財經(ID:hxcj24h)瞭解,目前來自世界各地的白帽黑客還在持續為EOS報告漏洞和提交修復建議。
沒被意識到的漏洞是可怕的,被意識到後,漏洞的威力將會大大降低。EOS團隊如果從此刻起,能更加重視安全問題並不斷增加投入,完全可以將各種隱患扼殺在爆發前夕。
不得不承認的是,安全性問題是目前整個區塊鏈領域的短板,並非EOS獨有,隨著各界的關注,隨著行業整體安全水平的提升,EOS的安全性能也必將水漲船高。
我們願意相信,未來發生大規模利用EOS漏洞的黑客攻擊,概率將會逐漸降低。
閱讀更多 區塊鏈瘋子 的文章
