網易科技訊 5 月 30 日消息 近日,360 發佈 EOS 高危安全漏洞消息。EOS 創始人 BM 迴應稱,360 在故意製造恐慌。周鴻禕回答王峯邀十問時對此表示否認。網易科技在“3 點霞客行 &EOS; 踢館護館羣”中邀請嘉賓,就 EOS 此次發現安全漏洞問題展開討論。很多嘉賓認爲,區塊鏈技術本身存在很多潛在的安全問題,EOS 出現安全漏洞很正常,需要時間不斷完善。但是也有嘉賓認爲,BM 認爲 360 故意製造恐慌的說法,是不敢正視問題,這種態度對技術極度不尊重。

嘉賓核心觀點提煉

Ruff CEO Roy Li:安全漏洞不會讓 EOS 歸零,BM 的迴應不夠尊重技術

安全漏洞雖然在區塊鏈裏危害很大,但是我不支持,危險會讓 EOS 歸零的說法,也不支持完全無視這種風險,認爲安全公司在找茬藉機炒作的陰謀論。

區塊鏈潛在的安全問題是很多,比如智能合約、代碼級漏洞等問題很容易發生。圖靈完備代表足夠高的底層自由度,這個自由度會導致邏輯當參數傳進去,或是字段邊界控制不力導致溢出,或者網絡同步,共識節點要承載安全上的壓力。節點本身一旦被攻擊,惡意行爲就可能產生。

一條公鏈的誕生到成熟,一定是千瘡百孔。即便是中心化的系統,如支付寶,也是久病成醫的,所以不存在所謂技術上的踢館。我覺得關鍵是對漏洞的態度,但如果驅動技術社區的力量對安全的重視和態度不夠,就會扭曲黑帽子和白帽子的平衡,攻守平衡被打破,未來的問題只會越來越多。

多年前,有個黑客入侵 MySpace , 將入侵過程發郵件告訴 MySpace 管理層,結果 MySpace 報警抓人。後來又有個黑客入侵 Facebook,同樣將過程提交給了 zuckerberg,結果被招進了公司,成爲了早期員工,這兩家公司的命運都可以看到。

網絡安全是要專業的人幹專業的事。什麼叫尊重? 好比有人喊一句 all in 區塊鏈,然後衝下場發一個空氣幣,這不叫尊重區塊鏈。360 也有過漏洞。我曾經在微博上就爆過 360 的漏洞。2011 年,周鴻禕拉譚曉生跟我聊 ,老譚態度特別好,執行力很強,周鴻禕並沒有因此說我炒作。

競選 eos 節點的團隊,你們以爲開一臺高防服務器,就等着挖幣了嗎?你們能扛多大的攻擊? 安全措施有方案嗎?滲透測試哪家做? 我對 BM 不評價,最多隻是覺得他對 ETH 事件的有點看法。我覺得還是社區的反應比較過激。BAT 的安全團隊實力儲備是何等強,還是三天兩頭要救火。EOS 臨近上線,在安全方面的測試也許需要更完備一些,否則主網上線後損失會更大。

Zformular EosBepal 節點技術負責人:EOS 社羣不應該盲目崇拜 BM

Zformular EosBepal 節點技術負責人覺得,首先,公鏈的安全是真槍實彈需要時間來驗證的,更需要公鏈的技術社區共同推動。我對於 EOS 的期待,就如同 09 年時許多人對於 Bitcoin 的期待。希望一個想法、一份技術論文、一份技術白皮書被一個技術社區共同推動 ,共同驗證。這個過程中,我們可以容忍狂熱的神教徒、投機的炒幣者、執着的技術派….. 所有人在參與這場實驗 。

目前,EOS 的安全性面臨幾個比較突出的問題:

第一個是超級節點被 DDOS 的風險。

第二個是前期客戶端代碼致命漏洞。

第三個是技術社區過於集中專制化 。

第四個是整體社區安全意識薄弱。昨天,EOS 技術生態的參與者,國內知名的 360 安全團隊,就給整個社區上了生動的一課。 當然,之前的慢霧科技,也在很努力的爲社區各節點提供安全建議、測試等。

技術社區心態應該更開放,接納更多的開發者,已經進入 EOS 技術生態社區的技術人員不應該盲目崇拜 BM 及其團隊。大家應該站在更利於 EOS 發展的角度思考,並努力推動 EOS 技術迭代,極端情況下,我個人認爲分叉不失爲一種解決方式。對於這個問題我還沒有思考很深入,因爲涉及到 社區自治方面的問題。希望大家能有更好的建議。

YOYOW 公鏈團隊成員 ALEX:360 發佈的漏洞沒那麼嚴重

YOYOW 公鏈團隊成員 ALEX 提出,首先說一下 BM 這位技術大牛,他是唯一一個開發出兩個成功的區塊鏈項目 Bitshares 和 Steem,同時也爲很多項目貢獻過代碼,比如 boost,以及他所開發的區塊鏈開發框架 – graphene 框架。同時 BM 也是 DPOS 共識算法的發明者,我並不懷疑 BM 這個人的技術能力。YOYOW 也是選擇了 graphene 框架進行開發。

至於出現的溢出 bug,其實任何項目都可能遇到,實際上也是很常見的一類問題。但問題的提出和修復的這個過程也是開源項目的魅力所在。發現了問題,社區提出來,然後進行修復,代碼是公開的,比閉源項目更容易找到問題所在,也能更快速修復。

而且就這個問題而言,在一般的通常情況下,是不可能獲取 root 權限。每個 BP 也應該有自己的安全策略。就這個問題而言,也就是說控制整個節點的可能性並不大,再且要同時控制 15 個超級節點,這個難度更大。實現的可能性那麼小,所以 BM 也說這是 FUD。

EOS 還在開發過程中,之前的提的 issue 遇到的問題還更大更多。360 這些大廠入局肯定是好事,爲 EOS 和其他公鏈項目保駕護航也是好事。畢竟開源項目的精神也在這。

原文:網易科技(http://tech.163.com/18/0531/16/DJ59H0HU00097U7R.html

巴比特資訊經授權轉載。

版權聲明:
by
nc"
sa 作者保留權利。文章爲作者獨立觀點,不代表巴比特立場。
發文時比特幣價格 ¥48335.54

來源鏈接:www.8btc.com