三点钟群热议EOS漏洞，简直不要太精彩！

枭枭来源：哈希财经 2018-05-31 08:47 热度 139182

微信扫一扫：分享

微信里点“发现”，扫一下
二维码便可将本文分享至朋友圈

IP归属：

人红是非多。EOS又双叒叕出大事儿了！

吸引币圈诸多目光的EOS主网上线倒计时，前几天注定不能平静。

昨天，360在自己的官方微博和微信均表示，360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞。

经360方面验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

360在文章中提到这些漏洞会带来以下隐患：

足以轰瘫数字体系的区块链漏洞

EOS超级节点攻击：虚拟货币交易完全受控

这类型的安全问题不仅仅影响EOS，也可能影响其他类型的区块链平台与虚拟货币应用。

如果这个漏洞不是360发现的，而是黑客发现的，那么他们对EOS发起攻击，会发生什么呢？

攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。

然后再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

攻击者如果完全控制了节点的系统，那么就能在网络的那一端为所欲为，比如说他们可以窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；也可以获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

而最糟糕的情况是，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。

想想真的是太可怕了！

不仅仅是我们投资者的资产安全，更会使得整个EOS网络瘫痪，造成无法弥补的损失。

前几天三点钟创始人玉红在贵州国家数博会论坛上表示，EOS是最大的空气币与传销币之后，今日又被曝发现高危漏洞，利空接踵而至，使得本已跌跌不休的EOS在漏洞消息一出就延续跌势。

哈希菌周围的部分柚子粉们已经开始怀疑自己的信仰了：EOS真的不是我想象中的那么美吗？EOS真的如看空一派说的那么不值一提吗？

EOS是否是空气币，哈希菌不评论，针对漏洞一事，360已经第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。

EOS团队也表示已经修复了大部分漏洞并且致力于修复余下的漏洞，EOSIO V1将会如期发布。

不过，上线前爆出这么大的事的确是影响不太好。

事件一爆出，各路新闻铺天盖地的发布，整个市场众说纷纭。

其中，Penta公链（PNT）CEO David Ritter针对这一问题表示：

智能合约虚拟机是区块链平台承载商业的核心，智能合约虚拟机与宿主机的安全隔离至关重要，设计时需要考虑：
1. 智能合约运行环境要容器化、沙盒化，尽量与操作系统隔离；
2. 智能合约语言要采用DSL，而非通用语言，如采用函数式语言；
3. 智能合约虚拟机设计要简洁明了，避免引入复杂繁琐的功能；
4. 对智能合约的复杂度要有限制，递归调用、多重嵌套循环等过于复杂的合约应拒绝执行。

如此大事，三点钟群自然更加关注，讨论也更为积极。昨晚十一点多群内各位大佬纷纷发表自己的看法。

@BitBen针对PentaCEO的4个看法提出了自己不同的意见。

1、VM虚拟机其实就是容器化、沙盒化的设计思路，本来就是要和主程序做功能隔离的。
2、DSL语言开发智能合约，不利于技术的普及。比特币当年只支持几个简单的脚本命令，于是V神搞出了以太坊和智能合约，才有了今天行业的蓬勃发展。
就好比如果没有php、java、nodejs、go、python等等，大家都在用古老的汇编语言做开发的话，我们现在也不可能趟在床上一边刷朋友圈，一边在群里和朋友聊天了。
3、第三点没毛病，可是什么是复杂繁琐？这个度谁来定义？打开浏览器看网页繁琐吗？可是背后的技术逻辑，设计多少次客户端服务端的数据交互，权限验证等等，如果丢给一个普通人看，繁琐死了。
4、智能合约嵌套复杂度拒绝执行的问题，如果PNT的人多早起就关注ETH社区的话，应该知道当年这个问题ETH是怎样封堵的。你可以多重递归，你可以作恶，因为这就是去中心化的魅力，但是我增加了你作恶的成本，让你不可能去作恶。

随后@威廉居士发话了：

我代表Penta回答@BitBen一些观点。

1、我这里强调的是要采用成熟的容器或沙盒技术，EOS自己写的WASM引擎，就是因为不够成熟才会出这么大的bug，还需要更长时间的实践检验，现在匆匆上线主网有点操之过急。当初比特币和以太坊的总市值不高，可以通过主网进行试验，但EOS不能这么做。
2、现在以太坊和EOS的智能合约都是用的通用语言，而DSL是更高级的语言，功能受限但更加简洁、安全，也对程序员更加友好，好比SQL与C++的区别，用在数据库领域哪个更好呢？
3、智能合约仅用于实现区块链共识部分的功能，并不需要太过复杂的功能，因此在设计智能合约虚拟机时要简化指令集、舍去不必要的功能，要学习中本聪设计比特币操作码时那样多做减法。
4、这纯粹是设计理念上的区别，经济机制是一种手段，语言层面的限制是另一种手段，不需要贬低任何一个，可以双管齐下。

@陈登科：

如果不是BM把代码开源了，安全人员都不会找到这个漏洞。漏洞的影响，也绝不是是媒体所说的那样的。

@威廉居士：

所以我说EOS是非常好的区块链实践，区块链的估值是看对区块链技术和区块链世界的贡献，不应该是传统的商业软件的估值体系，微软卖光盘的估值方法不适用于区块链。这是Eos的贡献。至于所谓社区运营虽然成功，但我不苟同。EOS选节点，好比独联体国家刚开始搞民主选总统，韭菜们以为从亿万富翁中选出来的点总统，最后发现是搜刮的皇帝。

我个人认为区块链估值体系是开源后对行业的贡献！不是所谓构建闭关的排他的生态。很多自称是区块链的投资人喜欢用社区多少人，多少Dapp，多少用户数里估值区块链，这本来还是停留在古典互联网思维，是伪区块链，有悖区块链开放开源的思想。还有去申请专利的。这还搞什么区块链？还是拿着微软甲骨文的思维在玩区块链。

@威廉居士：

中本聪收过谁专利费了么？好的代码达成共识，比特币就赚钱了，还申请什么专利？估值就是有没有实质推动区块链本事发展。中本聪区块链1.0实现了可信的价值，以太坊的智能合约实现可信的代码。数据上链不能篡改，谁来保证数据上链前真实？3.0或许是要实现可信的设备，或者是可信的数据。

目前应该都在在2.0阶段，智能合约不断出现漏洞，说明还没有实现可信的代码。

现在伪区块链多了，刚刚我说的那些区块链闭环生态思想和估值体系，也是伪区块链，是共享单车思想。

有贡献就有价值，EOS对于区块链有贡献，但也有问题。现在看不出什么公链完美，Penta也希望能有一些贡献，DSC在共识上有些公平性的突破。

另外以下两位的观点哈希菌非常赞同，贴出来给大家看看：

@春天：

子曰：“工欲善其事，必先利其器。”

想要保证组建或者投资的区块链项目的顺利运行，请务必重视智能合约，还是那句话，安全无小事。真的等问题发生了，才开始注重就晚了。

@陈怀远@标准共识：

漏洞并没有那么致命，360的白帽子行为也特别有典型的互联网精神。同时，我特别接受@威廉居士的说法，科技一定是在不断试错中前行的。群里大多数人应该都走过了互联网、移动互联网疯狂试错的时代吧。

群内的讨论火花四溅刀光剑影，精彩的内容很多，干货更甚。哈希非常认同威廉居士的一番话。能看出Penta是脚踏实地做实事的，相信Penta定会为了行业的发展贡献出自己的力量。