EOS安全漏洞事件始末～

來自專欄區塊鏈技術應用與落地

就EOS目前的狀況來看，頗有點牆倒眾人推的味道。眼看距離EOS主網上線的日子越來越近，EOS卻是風波不斷。

據360公眾號發布，昨天360公司發現了EOS的一系列高位安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

消息一出，根據火幣Pro數據顯示，EOS價格跳水，一小時內下跌6.65%。

EOS安全漏洞事件始末

28日下午1時，360方面完成了利用漏洞控制整個EOS網路的演示；28日晚間10時左右，360聯繫到了EOS官方反饋此漏洞；29日凌晨得到EOS回復稱，不要公開漏洞細節，EOS網路正在修復。29日凌晨2點左右，EOS已經處理。

據了解，EOS已將此事移交給律師團隊處理，官方未承諾過主網上線時間。

從技術層面來講，只要是代碼，就可能會有bug的存在。也就是說，傳統互聯網領域有的安全漏洞，區塊鏈網路也會有。但由於區塊鏈網路去中心化的計算特點，一個區塊鏈接點實現上的安全漏洞，可能引發上千萬的接點遭到攻擊。

EOS雙重安全漏洞

EOS是由21個超級節點組成的，任何一個超級節點遭到攻擊，對整個EOS的衝擊都是毀滅性的。360認為，在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程控制。

攻擊者可以「為所欲為」，如竊取EOS超級節點的密鑰，控制EOS網路的虛擬貨幣交易；獲取EOS網路參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。攻擊者也可以將EOS網路中的節點變為殭屍網路中的一員，發動網路攻擊或變成免費「礦工」，挖取其他數字貨幣。

EOS一個分散式計算

EOS技術實質上是一個十幾年前就成熟的分散式計算。今天BAT花很少的成本就能很輕鬆地做出一個百萬並發處理能力的分散式應用。

如果看過EOS白皮書就知道，EOS本身並沒有用特別的區塊鏈技術來說明解決問題，更多的是借用了分散式計算、雲計算中的大數據處理概念來描述處理問題。EOS並沒有像宣傳的那麼區塊鏈，也沒有那麼多創新之處。

EOS使用基於DPOS共識機制的石墨烯技術。它的DPOS的一致性演算法機制是區塊鏈技術領域裡面與POWPOS演算法等價的重要機制，但是它的技術實質也可以從谷歌的Paxos演算法中找到影子。

在谷歌的分散式資源管理系統Chubby中，通過Paxos演算法解決規則的分歧，並用加鎖解鎖的lock service解決了分散式計算中的一致性問題。在這裡，DPOS技術機制裡面，有著明顯的借鑒痕迹。

只是EOS在區塊的生產者選定和分配上設計的更加精細 ，比如用投票代替指派，用21個超級節點代替谷歌的雲計算中心，用126輪次模塊代替了龐大的谷歌資料庫布局，用6個塊生產者的基本單位消除谷歌3個塊生產者的節點崩潰危險（實質是一種冗餘設計）。

從這種分散式運算的一致性處理技術來看，EOS的技術里有很大一部分是借鑒和深化了谷歌的分散式處理技術，這是比較明顯的。在其餘的EOS技術表述中，比如交易確認、賬號管理、散列、角色管理等等方面，多數可以找到谷歌分散式架構和數據處理模型、技術的印記。

EOS背離區塊鏈共識

實際上高並發處理性能，也不是什麼新技術。比如淘寶的並發處理性能就有千萬級別。

所以，性能並不是區塊鏈的第一要義，去中心化的才是區塊鏈的核心價值。EOS犧牲掉區塊鏈去中心化的核心價值，去追求所謂百萬TPS的高性能，其實並不可取。

由於在區塊鏈的分散式記賬體系里，每個節點都需要記賬，每個節點需要向其它所有節點同步廣播，所以存在效率問題。EOS通過21個超級節點記賬，每個節點向其它20個節點廣播，確實能提升運行的效率。

表明上看來，EOS能夠實現高性能的多節點網路，能夠支持大型DAPP、企業級網路計算請求免費等。而21個超級節點的單獨出塊、逐個驗證，未來也將支撐起整個EOS的安全、高效的網路環境。

但這相當於EOS實際用去中心化的手段搭建了一個弱中心化的EOS社群構架，違背了區塊鏈「去中心化」核心，也將直接導致EOS實際成為這21個超級節點利益共同體。因為這21個超級節點將掌握EOS的生殺大權，為了彼此之間爭奪更多的權力卻又不出現分歧，只會走向更加的中心化。

如果EOS只是追求高性能和效率的話，分散式記賬再怎麼快也比不上一家記賬快，況且大公司的信用背書肯定比一群莊家大戶背書要好。比如阿里的淘寶高並發處理性能達到千萬級，但大多數人都會選擇信任這家公司。

一定意義上來講，現在很多企業和行業間運用私有鏈和聯盟鏈技術，提高的生產效率和生產力。但是作為一個公鏈，追求的應該是公平，讓任何節點可以有同樣參與門檻、可以用有對等的權力。而EOS則太容易形成壟斷了，幾個超級節點之間達成共識比所有參與者都達成共識容易多了。

EOS這種機制，本身就違背了區塊鏈去中心化的初衷。「人類社會體制中我們所深惡痛絕的舞弊，再次不可避免的在它們的身上重現了。」

http://weixin.qq.com/r/Hz8eBurEmbfmra5l92oN (二維碼自動識別)