首页 > EOS柚子 > 正文

EOS的360度

起风财经  2018-05-31  EOS/EOS柚子栏目  

  来源:起风财经

  整理:马慧敏

  5月29日,360安全卫士官方微博称360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,并将该类漏洞上报了EOS官方。EOS创始人BM在30日凌晨回应称,360报告中提到的漏洞早已被EOS修复,并表示360的行为是在制造恐慌。

  此事孰是孰非,一时难以说清。5月30日下午,大咖云集的“3点钟霞客行&踢馆护馆群”里,几位技术极客和金融大牛对此事展开了热烈的讨论,起风财经对各位专家的观点进行了精编整理。

Roy Li:当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重

▲Roy Li,Ruff 创始人、著名黑客、网络安全专家

全节点客户端类似残留的登录信息被远程利用

  ETH前段时间爆了一个漏洞,就是,这下黑客不用私钥也可以盗币。当时这个漏洞出来后BM的评价是:而这次360发现的漏洞,BM的回应大家也都看到了,基本就是上帝模式的说法。

我本身不支持喊归零的做法,但我也不支持BM这种完全无视

  其实安全漏洞虽然在区块链里危害很大,但,认为安全公司找茬借机炒作的阴谋论。

区块链里潜在的安全问题是很多的

  ,比如智能合约,尤其是图灵完备级别后,代码级漏洞是容易发生的。图灵完备代表足够高的底层自由度,这个自由度会导致一些问题,比方说执行参数的时候执行到了逻辑(逻辑当参数传进去),或是字段边界控制不力导致溢出,这问题如果用分叉解决,会有很高的成本。

区块链上网络同步,共识节点也要承载安全上的压力

  另外,,而节点本身一旦被攻击,恶意行为就有包括拒绝打包、或是对轻节点的欺诈(轻节点不存储全部区块信息)的可能。

  我在另一个群里仔细分析过EOS白皮书,DPOS会牺牲一些安全性,但具体效果如何还要长期跑下去才能验证。比如说以前BIP141里的紧凑欺诈证明,后来证明POW的机制使得SPV足够安全,但这招在DPOS里可能会比较头疼。

这只是开始,暴风雨还没来呢,这都激动了,以后咋办。

  另外,EOS鼓励打包者调整合约尽可能并行执行,以获得更高奖励,这里面会不会产生一些看似“善意”的恶意行为谁又知道呢,你释放一丁点的自由度出去都会增加作恶的风险。总之,

一条公链的诞生到成熟,一定是千疮百孔的

  ,即便是中心化的系统如支付宝也是久病成医的。所以我不认为360存在所谓技术上的踢馆,但是

  还有,ETH漏洞其实已经被黑客恶意利用一段时间了,已经造成了损失。如果对安全的重视和态度不够,就会扭曲黑帽子和白帽子的平衡。攻守平衡被打破,未来的问题只会越来越多。

  讲个故事,当年有个黑客入侵了MySpace , 将入侵过程发邮件告诉MySpace的管理层,结果MySpace报警抓人。后来又有个黑客,入侵了Facebook,同样将过程提交给了ZuckerBerg,结果被招进了公司,成为了早期员工。这两家公司的命运,大家都知道了。

网络安全是专业的人干专业的事,应该尊重技术人员。

  怎么才算叫尊重?喊一句all in区块链,然后冲下场发一个空气币,那不叫尊重区块链。网络安全也不是你搞个奖金池,1万美金一个漏洞,高危哦。

当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重。

  我记得曾经乌云在的时候,那时候真的很有逼格,有个金融公司托我去找剑心,要求不要爆漏洞,他们已经修复了。我说不可能的,我也不会帮你去求情,因为我记得那次还被威胁,我说我是吓大的。

老周并没有因此要求我不要说,或是骂我炒作。

  这么说吧,360有没有过漏洞?一样有过 一样被爆过。2011年我在微博上就爆过360的漏洞,老周拉谭晓生跟我聊的。老谭态度特别好,执行力很强。

  我再说了,竞选EOS节点的,你们以为开一台高防服务器,就等着挖币了吗?你们能扛多大的攻击? 安全措施有方案吗?渗透测试哪家做?

我坚决反对煽风点火喊归零的,也反对阴谋论的。

  我对BM不评价,最多只是觉得他对ETH事件有点看法。不过社区的反应比较过激吧,非黑即白。只因为你觉得360黑了EOS所以你就开始歪曲事实了,这种贬一个团队捧一个团队的作法合适吗?我不是360的人,我也跟360没有任何利益关系,但

  区块链安全隐患多了去了,适当的PR是值得鼓励的,不要上升到什么角度,或是炒作、蹭热点、阴谋论。

BAT的安全团队实力储备是何等强,还是三天两头要救火

  还有,不是找一家供应商帮你做个全案就万事大吉。。EOS临近上线,在安全方面的测试也许需要更完备一些,

Zformular:不应该盲目崇拜BM及其团队

▲Zformular:EOS的超级节点EosBepal 技术负责人

这个技术社区里绝大多数人是希望并推动EOS去BM化

  EOS技术社区≠BM团队及他所在的Block.one公司,EOS整个技术社区包括普通的开发者、区块链技术公司、安全公司(我认为慢雾、360都属于)等,,当EOSIO上线后,。

  公链的安全是真枪实弹需要时间来验证,更需要公链的技术社区来共同推动。目前EOS的安全性面临几个问题:

  第一、超级节点被DDOS的风险。

  第二、前期客户端代码致命漏洞。

  第三、技术社区过于集中专制化。

  第四、整体社区安全意识薄弱。

技术社区心态应该更开放,接纳更多的开发者

  对于这四个问题,社区成员共同给出了很多合理的方案,其实整个技术社区是有由很大一部分人共同努力推动的,我认为。

不应该盲目崇拜BM及其团队

  已经进入EOS技术生态社区的技术人员,,大家应该站在更利于EOS发展的角度思考并努力推动EOS技术迭代。这一点涉及社区自治,我思考的也不深。参与到EOS主网启动的各个节点技术负责人,应该有比我更深的理解。

Alex:360的入局可以为EOS和其它公链保驾护航

▲Alex :YOYOW团队成员,HelloEOS社区成员

问题的提出和修复的这个过程也是开源项目的魅力所在

  BM是一位技术大牛,我并不怀疑他的技术能力,至于这个BUG其实任何项目都可能遇到,同时。发现了问题,社区提出来,然后进行修复,代码是公开的,比闭源项目更容易找到问题所在,也能更快速修复。

控制整个节点的可能性并不大

  而且就这个问题而言,一般是不可能获取ROOT权限的,每个BP也应该有自己的安全策略。就这个问题而言也就是说,再且要同时控制15个超级节点,这个难度更大,实现的可能性那么小,所以BM也说这是FUD。所以这个只能说是婆说婆有理吧。

之前提的ISSUE遇到的问题还更大更多

  EOS还在开发过程中,。其实,

陈九:EOS的壮大不仅要菩萨低眉,还要金刚怒目

▲陈九,陈九金服创始人,BLOCK资本创始人

要求越高BUG一定会越多,

  有BUG太正常,这就是BTC的聪明之处,坚守简单原则,但是EOS的战略方向已经在很多社区达成共识,无非是如何遇鬼杀鬼的问题,这里面涉及到两点:

第一点,逻辑问题。

  逻辑又分技术逻辑和商业逻辑,在技术逻辑上我觉得EOS其实已经做的很有前瞻性了,不求完美,求单点优势凸现,而商业逻辑这块从目前大家的热议,以及周教主的加入无疑已经从事实上论证了它的成功。

第二点,落地问题。

  大家都说BM吹牛,高并发不靠谱,很多国内公链发起人在这点达成空前共识与团结,而我要说的是大家不要把方向和现实混为一谈,确实它现在离目标远得很。

  我拿波场举例吧,波场我一开始从务实角度并不看好,觉得就是假波、硅胶波。可人家商业运作很成功,融了这么多钱,开始吸纳真正的技术大牛、运营大牛,慢慢给往真的靠了。

再来说比特币。

  比特币在当初极客阶段的时候,大家说它是空气,因为都在探索阶段。但是大家现在一定要明白,在区块链这个生态里,脱离技术纯谈市场和脱离市场纯谈技术都是耍流氓,它是一个高度结合体。技术是根基,市场是脚或翅膀,不懂运营一样寸步难行,但是没技术,坠地是绝对的。

  EOS其实就是这样一个先行者,在社区基础上相信大家已经没有异议,目前无非关心的是技术逻辑和技术漏洞问题。

EOS的壮大其实需要更多的周教主,不仅要菩萨低眉,还要金刚怒目。大家都是社区共建者,无非就是怎么把这目标实现,过程中有问题太正常。

  我觉得确实把宝全押到BM一个人身上不太合适,风险太大,他压力也大。

曹辉宁:我不看好EOS,但求同存异

▲曹辉宁,长江商学院金融学教授

  我问大家四个问题:

  1、区块链技术到底给社会带来了什么?能解决哪些社会痛点?有哪些缺陷?

  2、在哪些领域区块链技术能够比中心化的技术更有用,占有一席之地?

  3、EOS想解决哪些问题,和已有的区块链技术相比,有哪些优势,有哪些致命的漏洞?

  4、 EOS和已有的中心化机构相比,在哪些领域有哪些优势?

  我就每个问题发表一下自己的想法:

区块链通过密码技术带来了安全和信任

  1、,其代价是速度慢,资源浪费和规模化很低。在信任缺乏的领域有其优势,比如非洲的数字货币,全球的中小微企业融资、跨境支付等方面。

在目前的状况下,大多数情形,区块链技术相比中心化机构是没有优势的。

  2、但是在中心化机构道德风险泛滥,同时不对称信息巨大时有可能有优势。由于目前监管的原因,大的中心化上市公司不敢发币,所以,但是这个监管套利不是内生的,也不会持久。

EOS通过简单明了指定21人中一人挖矿,避开了大量的计算和能耗,

  3、从而增加了速度,而且降低了能耗。但代价是寄希望于这21个节点大多数都是好人,。好人不好找,好人会变坏,21个节点会被黑客挟持、会被黑客攻击,这都是潜在的风险。

和中心化机构相比,EOS有21个节点,中心化有一个节点。

  4、21个节点有安全的,也有不安全的;有老实的,也可能有一心想着捞钱甚至和黑客合作坑人的。EOS和中心化机构相比看不出有什么优势,可信度没有增加,效率也不会超过中心机构。

EOS并不能通过分布式记账增加信用。

  EOS目前能够炒作的就是因为发币没有受到监管,所以能够通过发币带来的激励机制,引发全球性流动,汇集信息流,带来一定的价值,这不是靠计算机科学来增加信用,而是如果中心化机构可以发币,可以比大多数区块链做得更好,比如中国政府、美联储、腾讯等。

我不认可EOS。

  综上所述,

EOS根本不需要21个节点,BM一个人挖矿足矣。

  我认为前二十名数字货币中,60%的都是为了发币而发币,能解决社会痛点的很少。而

中心化的问题在于中心可能会做恶。

  中本聪放弃自己的影响力,把区块链带到无我之境,是大格局,高境界。我们如何在一个充满恶人的世界建立信任,这是中本聪想解决的问题。

  (以下排序按照发文先后顺序)

会议干货篇:

  元道|姚余栋|EOS创始人之父|易理华|齐爱民|蔡维德|Jeremy Chen|金键|陈磊|谢平|吕本富|张磊|习辉|于佳宁(白皮书完整版)

访谈干货篇:

  蔡栋|曹辉宁|顾费勇|许洪波|刘兴亮|杨东(上期)|杨东(下期)|杨宁

起风财经致力于建设最具价值的区块链社群,通过与区块链行业深耕者及头部大咖直接对话,提升社群内区块链认知。

  扫码加小链微信,可申请入群

  长按识别二维码即可添加

版权信息
作者:马慧敏
来源:起风财经

关于我们

联系我们

作者进驻

手机版

Copyright © 2013 比特巴 www.btb8.com
始建于2013年,提供比特币 区块链及数字货币新闻、技术教程、测评、项目周报、人物等资讯
本页面提供的是EOS观点资讯,EOS币为区块链奇才BM领导开发的类似操作系统的区块链架构平台,旨在实现分布式应用的性能扩展。