5月29日,360安全卫士官方微博称360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,并将该类漏洞上报了EOS官方。EOS创始人BM在30日凌晨回应称,360报告中提到的漏洞早已被EOS修复,并表示360的行为是在制造恐慌。
此事孰是孰非,一时难以说清。5月30日下午,大咖云集的“3点钟霞客行&踢馆护馆群”里,几位技术极客和金融大牛对此事展开了热烈的讨论,起风财经对各位专家的观点进行了精编整理。
Roy Li:当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重
▲Roy Li,Ruff 创始人、著名黑客、网络安全专家
ETH前段时间爆了一个漏洞,就是全节点客户端类似残留的登录信息被远程利用,这下黑客不用私钥也可以盗币。当时这个漏洞出来后BM的评价是:我早就知道了,他们没有设置本地访问限制而已。而这次360发现的漏洞,BM的回应大家也都看到了,基本就是上帝模式的说法。
其实安全漏洞虽然在区块链里危害很大,但我本身不支持喊归零的做法,但我也不支持BM这种完全无视,认为安全公司找茬借机炒作的阴谋论。
区块链里潜在的安全问题是很多的,比如智能合约,尤其是图灵完备级别后,代码级漏洞是容易发生的。图灵完备代表足够高的底层自由度,这个自由度会导致一些问题,比方说执行参数的时候执行到了逻辑(逻辑当参数传进去),或是字段边界控制不力导致溢出,这问题如果用分叉解决,会有很高的成本。
另外,区块链上网络同步,共识节点也要承载安全上的压力,而节点本身一旦被攻击,恶意行为就有包括拒绝打包、或是对轻节点的欺诈(轻节点不存储全部区块信息)的可能。
我在另一个群里仔细分析过EOS白皮书,DPOS会牺牲一些安全性,但具体效果如何还要长期跑下去才能验证。比如说以前BIP141里的紧凑欺诈证明,后来证明POW的机制使得SPV足够安全,但这招在DPOS里可能会比较头疼。
另外,EOS鼓励打包者调整合约尽可能并行执行,以获得更高奖励,这里面会不会产生一些看似“善意”的恶意行为谁又知道呢,你释放一丁点的自由度出去都会增加作恶的风险。总之,这只是开始,暴风雨还没来呢,这都激动了,以后咋办。
一条公链的诞生到成熟,一定是千疮百孔的,即便是中心化的系统如支付宝也是久病成医的。所以我不认为360存在所谓技术上的踢馆,但是面对这个事双方的态度很关键。
还有,ETH漏洞其实已经被黑客恶意利用一段时间了,已经造成了损失。如果对安全的重视和态度不够,就会扭曲黑帽子和白帽子的平衡。攻守平衡被打破,未来的问题只会越来越多。
讲个故事,当年有个黑客入侵了MySpace , 将入侵过程发邮件告诉MySpace的管理层,结果MySpace报警抓人。后来又有个黑客,入侵了Facebook,同样将过程提交给了ZuckerBerg,结果被招进了公司,成为了早期员工。这两家公司的命运,大家都知道了。
网络安全是专业的人干专业的事,应该尊重技术人员。怎么才算叫尊重?喊一句all in区块链,然后冲下场发一个空气币,那不叫尊重区块链。网络安全也不是你搞个奖金池,1万美金一个漏洞,高危哦。
我记得曾经乌云在的时候,那时候真的很有逼格,有个金融公司托我去找剑心,要求不要爆漏洞,他们已经修复了。我说不可能的,我也不会帮你去求情,因为当漏洞不存在,偷偷修复,就是对安全从业者最大的不尊重。我记得那次还被威胁,我说我是吓大的。
这么说吧,360有没有过漏洞?一样有过 一样被爆过。2011年我在微博上就爆过360的漏洞,老周拉谭晓生跟我聊的。老谭态度特别好,执行力很强。老周并没有因此要求我不要说,或是骂我炒作。
我再说了,竞选EOS节点的,你们以为开一台高防服务器,就等着挖币了吗?你们能扛多大的攻击? 安全措施有方案吗?渗透测试哪家做?
我对BM不评价,最多只是觉得他对ETH事件有点看法。不过社区的反应比较过激吧,非黑即白。只因为你觉得360黑了EOS所以你就开始歪曲事实了,这种贬一个团队捧一个团队的作法合适吗?我不是360的人,我也跟360没有任何利益关系,但我坚决反对煽风点火喊归零的,也反对阴谋论的。
区块链安全隐患多了去了,适当的PR是值得鼓励的,不要上升到什么角度,或是炒作、蹭热点、阴谋论。
还有,不是找一家供应商帮你做个全案就万事大吉。BAT的安全团队实力储备是何等强,还是三天两头要救火。EOS临近上线,在安全方面的测试也许需要更完备一些,否则主网上线后损失会更大。
Zformular:不应该盲目崇拜BM及其团队
▲Zformular:EOS的超级节点EosBepal 技术负责人
EOS技术社区≠BM团队及他所在的Block.one公司,EOS整个技术社区包括普通的开发者、区块链技术公司、安全公司(我认为慢雾、360都属于)等,这个技术社区里绝大多数人是希望并推动EOS去BM化,当EOSIO上线后,由整个技术社区来推动后续的EOS发展。
公链的安全是真枪实弹需要时间来验证,更需要公链的技术社区来共同推动。目前EOS的安全性面临几个问题:
第一、超级节点被DDOS的风险。
第二、前期客户端代码致命漏洞。
第三、技术社区过于集中专制化。
第四、整体社区安全意识薄弱。
对于这四个问题,社区成员共同给出了很多合理的方案,其实整个技术社区是有由很大一部分人共同努力推动的,我认为技术社区心态应该更开放,接纳更多的开发者。
已经进入EOS技术生态社区的技术人员,不应该盲目崇拜BM及其团队,大家应该站在更利于EOS发展的角度思考并努力推动EOS技术迭代。极端情况下,我个人认为分叉不失为一种解决方式,这一点涉及社区自治,我思考的也不深。参与到EOS主网启动的各个节点技术负责人,应该有比我更深的理解。
Alex:360的入局可以为EOS和其它公链保驾护航
▲Alex :YOYOW团队成员,HelloEOS社区成员
