智能合约之父萨博警示EOS安全漏洞

资讯
2018
06/25
11:26
核财经
分享
评论

5月29日,由于中国网络安全公司奇虎360发现了一个严重的漏洞,EOS主网推出被推迟了。康奈尔大学教授,著名的密码学家Emin Gun Sirer批评EOS开发人员没有寻求共识协议专家的帮助。

在EOS主网发布之后,Sirer和其他加密专家,包括智能合同致富尼克.萨博(Nick Szabo)都谴责了EOS的代码和中心化问题。Sirer说EOS的问题会变得更糟。

在今年5月的一份官方报告中,奇虎360与EOS首席技术官丹尼尔•拉雷默(Daniel Larimer)分享了他们的谈话,披露了EOS不受约束的写入漏洞。奇虎360团队表示,该漏洞使黑客能够利用和攻击EOS超级节点。

在解析WASM文件时,我们发现并成功地利用了EOS中的缓冲区越界写漏洞。通过利用该漏洞,攻击者可以将恶意的智能协议上传到节点服务器,在节点服务器解析该协议后,恶意协议可以在服务器上执行并控制该服务器。在控制了节点服务器后,攻击者可以将恶意合约打包到新的块中,进一步控制EOS网络的所有节点。

奇虎360的报告还说,团队最初在5月11日发现了这个漏洞,并在5月28日加以利用。奇虎360向EOS团队披露了这一漏洞,该团队随后“修复”了该漏洞,并在Github上结束了这一问题。然而,5月29日,奇虎360发现漏洞并非完全修复,于是向公众发布了报告。

EOS代码层的漏洞使得该区块链网络面临严厉的批评,那时候EOS预计将于6月2日推出其主网。

著名的密码学家、康奈尔大学教授Sirer指出,EOS的情况“将变得更糟”,并强调EOS创建的漏洞赏金系统在发现协议的概念性或结构性错误方面并不实用。

EOS漏洞赏金的设计是为了捕获简单的编码错误,而不是协议中的概念错误。Sirer教授说,EOS的朋友们,你们从共识协议专家那里得到过什么帮助吗?你们明白不应该推出自己的密码,但为什么你们要推出自己的共识协议呢?这就像是你们不懂得手术刀,却要继续进行脑部手术。

EOS的中心化问题

在有争议的主网发布后不久,EOS开发人员就收到了尼克.萨博的批评,萨博说EOS的中心化使得项目容易受到攻击和面临各种安全漏洞。

在EOS中,一些完全陌生的人可以冻结用户的资产。根据EOS协议,你必须信任一个由你可能永远不会认识的人组成的“宪法”组织。EOS的“宪法”在社会上是不可扩展的,是一个安全漏洞。

萨博的声明提到了EOS对不活跃帐户的被没收和挂起的能力,EOS节点候选人EOS New York的联合创始人里克•施莱辛格(Rick Schlesinger)在接受采访中也表示,用户应该仔细检查EOS存在争议的账户暂停过程。“我确实认为,社区将应该仔细审查(第十五条),了解受治理的区块链应该如何回应社区意愿。”施莱辛格说。

(来源:核财经)

THE END
广告、内容合作请点击这里 寻求合作
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

相关推荐

1
3