EOS被曝百億美金漏洞 區(qū)塊鏈還安全嗎？

財(cái)經(jīng)365訊（編輯 章馨），近日，年度最熱門項(xiàng)目EOS可謂進(jìn)入水逆期，先是價(jià)格一路下滑，又遭三點(diǎn)鐘社群創(chuàng)始人玉紅炮轟“EOS是傳銷幣，是史上最大的騙局”；而一波未平，一波又起，5.29，360旗下伏爾甘團(tuán)隊(duì)又宣稱發(fā)現(xiàn)了EOS上的致命漏洞：“如果被非法利用，可以遠(yuǎn)程攻擊控制和接管 EOS 上運(yùn)行的所有節(jié)點(diǎn)，嚴(yán)重情況下，EOS 乃至整個(gè)虛擬貨幣市場(chǎng)都會(huì)遭遇滑鐵盧”。消息一出，經(jīng)過20分鐘左右的發(fā)酵，EOS市值跳水7%，讓本已蕭條的二級(jí)市場(chǎng)雪上加霜。

據(jù)360伏爾甘團(tuán)隊(duì)解釋，此次漏洞可被黑客如此非法利用：“在攻擊中，攻擊者會(huì)構(gòu)造并發(fā)布包含惡意代碼的智能合約，EOS超級(jí)節(jié)點(diǎn)將會(huì)執(zhí)行這個(gè)惡意合約，并觸發(fā)其中的安全漏洞。攻擊者再利用超級(jí)節(jié)點(diǎn)將惡意合約打包進(jìn)新的區(qū)塊，進(jìn)而導(dǎo)致網(wǎng)絡(luò)中所有全節(jié)點(diǎn)（備選超級(jí)節(jié)點(diǎn)、交易所充值提現(xiàn)節(jié)點(diǎn)、數(shù)字貨幣錢包服務(wù)器節(jié)點(diǎn)等）被遠(yuǎn)程控制。

由于已經(jīng)完全控制了節(jié)點(diǎn)的系統(tǒng)，攻擊者可以“為所欲為”，如竊取EOS超級(jí)節(jié)點(diǎn)的密鑰，控制EOS網(wǎng)絡(luò)的虛擬貨幣交易；獲取EOS網(wǎng)絡(luò)參與節(jié)點(diǎn)系統(tǒng)中的其他金融和隱私數(shù)據(jù)，例如交易所中的數(shù)字貨幣、保存在錢包中的用戶密鑰、關(guān)鍵的用戶資料和隱私數(shù)據(jù)等等。更有甚者，攻擊者可以將EOS網(wǎng)絡(luò)中的節(jié)點(diǎn)變?yōu)榻┦W(wǎng)絡(luò)中的一員，發(fā)動(dòng)網(wǎng)絡(luò)攻擊或變成免費(fèi)“礦工”，挖取其他數(shù)字貨幣。”

簡(jiǎn)而言之，如果黑客愿意，他們可以利用這一bug掏空EOS的市值，血洗所有散戶和投資人的本金與利潤(rùn)，而整個(gè)建筑在EOS網(wǎng)絡(luò)上的價(jià)值都會(huì)轟然倒塌（包括其上的交易所等生態(tài)應(yīng)用）。

EOS可謂是光環(huán)無限的項(xiàng)目，其有著無數(shù)令人稱道的優(yōu)勢(shì)：創(chuàng)始人成功做出3個(gè)市值前五十的區(qū)塊鏈項(xiàng)目并成功運(yùn)營(yíng)至今，實(shí)測(cè)TPS已達(dá)數(shù)千筆、最終可達(dá)到100WTPS（這一數(shù)值可是遠(yuǎn)超現(xiàn)有的一切支付平臺(tái)的，畢竟頂尖的Visa和支付寶峰值也不過數(shù)100K+TPS），融資額度史上最大——已超過10億美元（而如果再保守地乘以10倍的市盈率，Block.one僅用不到一年時(shí)間，已然成為了超級(jí)獨(dú)角獸），如此種種，不勝枚舉。這樣炙手可熱的項(xiàng)目驚現(xiàn)“史詩(shī)級(jí)漏洞”，極大地打擊了人們的信心，我們不禁去問，區(qū)塊鏈真的有那么安全嗎？區(qū)塊鏈還安全嗎？

探討這個(gè)問題之前，我們先要引入一個(gè)概念，叫做Selective Choice Bias （選擇性偏差/選擇性盲視），當(dāng)你認(rèn)為一件事情如何時(shí)，往往并非這件事情本身如此（即事實(shí)層面并非如此），而僅僅是你認(rèn)為如此（即觀點(diǎn)如此），結(jié)合這個(gè)概念說，便是你傾向于相信你看到的那一部分（即觀點(diǎn)），而非事實(shí)。

EOS這件事情上，首先是被曝出的漏洞是在其得到修復(fù)之后（360同EOS官方有很好的溝通，這恰恰說明EOS作為明星區(qū)塊鏈項(xiàng)目，它社區(qū)建設(shè)的成功性）；其次，漏洞被第一時(shí)間修復(fù)，并沒有造成任何實(shí)際的損失；再次，從始至終，EOS都是“打開門說話”，對(duì)待問題，不隱瞞、不藏匿，及時(shí)有效地進(jìn)行了處理。簡(jiǎn)而言之，人們認(rèn)為的不安全，只是看到了這個(gè)事情的一部分，而沒有看到全部的事實(shí)——迷失在了觀點(diǎn)中，而失去了對(duì)事實(shí)的完整感知。

我們常說，“不能因噎廢食”，EOS一時(shí)的小漏洞，不可被拿來否定整個(gè)項(xiàng)目，更不能被用來否定區(qū)塊鏈技術(shù)的安全性。

區(qū)塊鏈技術(shù)，被認(rèn)為是下一代互聯(lián)網(wǎng)（上一代實(shí)現(xiàn)了信息的扁平化，區(qū)塊鏈則可以實(shí)現(xiàn)價(jià)值的扁平化傳遞），而其本身蘊(yùn)含的一系列特性，支撐了以下幾個(gè)方面的安全：

一、 數(shù)據(jù)安全。李笑來關(guān)于區(qū)塊鏈技術(shù)有一個(gè)簡(jiǎn)明扼要的論述：“區(qū)塊鏈本質(zhì)上是一個(gè)不可篡改的云數(shù)據(jù)庫(kù)”，數(shù)據(jù)的“責(zé)任可溯源性”和“不可篡改性”確保了數(shù)據(jù)的產(chǎn)生、傳輸和接收過程的唯一性，更確保了數(shù)據(jù)的準(zhǔn)確、真實(shí)性。而在這一基礎(chǔ)上衍生出的各類服務(wù)——云計(jì)算或者物聯(lián)網(wǎng)才具有了真正的價(jià)值——作為“細(xì)胞”的數(shù)據(jù)是干凈、透明、完整的。

二、價(jià)值安全。這一層面也可以理解為，價(jià)值確權(quán)——區(qū)塊鏈功用的實(shí)現(xiàn)，建立在分布式網(wǎng)絡(luò)之上，一但有一筆交易發(fā)生，就會(huì)被進(jìn)行全網(wǎng)廣播公示，一來避免了所謂的“雙花”問題（即，一筆錢，花兩次）；二來，確認(rèn)了某一筆交易后的資產(chǎn)，歸屬于且僅歸屬于你。在這個(gè)世界里，"Coding is law"，依靠分布式網(wǎng)絡(luò)，連同智能合約的加成，區(qū)塊鏈?zhǔn)褂眉夹g(shù)手段，實(shí)現(xiàn)了對(duì)私有產(chǎn)權(quán)的高度尊重和保護(hù)。

三、信心（信用）安全。眾所周知的是，人民幣、美元、歐元等法幣之所以具有購(gòu)買力，并非是貨幣本身有價(jià)值（紙幣、硬幣等實(shí)際制造的邊際成本趨近于零），而是政府背書——政府公信力的保障，賦予了其相應(yīng)的購(gòu)買力；區(qū)塊鏈下的數(shù)字貨幣亦是如此，不同的是，區(qū)塊鏈項(xiàng)目代幣并不需要政府或其他類似權(quán)威機(jī)構(gòu)背書，而是依靠“共識(shí)機(jī)制”：如比特幣的PoW，比特幣的價(jià)值就來源于人們對(duì)于這一機(jī)制的信任（甚至信仰），只要“礦工”愿意不斷提升自己的算力去碰撞函數(shù)，一般來說他就能獲得更多的比特幣（獎(jiǎng)勵(lì)），而這又激勵(lì)他去使用或貯藏比特幣（賦予其使用/流通、貯藏價(jià)值），這一循環(huán)，便完成了對(duì)比特幣的信心/信用賦值，人們篤信，比特幣的長(zhǎng)遠(yuǎn)價(jià)值。區(qū)塊鏈技術(shù)，通過共識(shí)機(jī)制，實(shí)現(xiàn)了人們對(duì)于這個(gè)系統(tǒng)的信心安全，只要共識(shí)機(jī)制良好運(yùn)轉(zhuǎn)，整個(gè)機(jī)制就會(huì)安全、穩(wěn)定地運(yùn)行。

綜上不難看出，區(qū)塊鏈技術(shù)實(shí)現(xiàn)了多個(gè)維度的安全性，本身是一項(xiàng)偉大且可信的技術(shù)，但“金無足赤”，隨著區(qū)塊鏈技術(shù)實(shí)踐狀況的變化，我們感知到，現(xiàn)有的共識(shí)機(jī)制都或多或少地存在問題：PoW過于野蠻——極度依靠算力，對(duì)電力資源進(jìn)行了極大的消耗（比特幣一年消耗的電力，已經(jīng)超過了159個(gè)國(guó)家同一時(shí)間的電力消耗，全球也僅僅只有195個(gè)主權(quán)國(guó)家）；PoS則演變成為了資本的游戲，那些持有夠多ETH的人，成為了壟斷寡頭，新產(chǎn)生的ETH也僅由他們分享。

經(jīng)過多番比較，一個(gè)新的共識(shí)機(jī)制——Obelisk進(jìn)入了筆者眼中，這個(gè)算法具有諸多亮點(diǎn)，例如它是將所有的節(jié)點(diǎn)接入一個(gè)互鎖的“互聯(lián)網(wǎng)”中，每個(gè)節(jié)點(diǎn)在全網(wǎng)中具有多大的影響力，取決于其自身被信任的節(jié)點(diǎn)數(shù)，這就規(guī)避了PoW下比拼算力導(dǎo)致的高昂的電力消耗；同時(shí)，也避免了PoS下的資本巨頭壟斷局面。

不僅如此，Obelisk還降低了DIY礦機(jī)的門檻，使得接入節(jié)點(diǎn)的代價(jià)非常小，促成整個(gè)網(wǎng)絡(luò)會(huì)有更多的節(jié)點(diǎn)接入，這在擴(kuò)大網(wǎng)絡(luò)影響力的同時(shí)也增強(qiáng)了網(wǎng)絡(luò)的抗風(fēng)險(xiǎn)性與安全性。

更令人驚嘆的是,Obelisk算法下，網(wǎng)絡(luò)不需要100%的流量即可安全運(yùn)行，因而，當(dāng)有惡意節(jié)點(diǎn)出現(xiàn)時(shí)，Skycoin網(wǎng)絡(luò)會(huì)以半自動(dòng)的方式剔除惡意節(jié)點(diǎn)，而不影響整體的繼續(xù)運(yùn)行。這就完美規(guī)避了EOS存在的，牽一發(fā)而動(dòng)全身的弊端。

一項(xiàng)新興的技術(shù)，從誕生到發(fā)展到落地，是一個(gè)持續(xù)改進(jìn)和優(yōu)化的過程，盡管EOS這樣的明星項(xiàng)目出現(xiàn)了所謂的史詩(shī)級(jí)漏洞，但從團(tuán)隊(duì)到社區(qū)都在第一時(shí)間，拿出最認(rèn)真的態(tài)度對(duì)其進(jìn)行了解決，這恰恰證明了，區(qū)塊鏈技術(shù)本身是一項(xiàng)經(jīng)得起考驗(yàn)和推敲的技術(shù)。想要了解更多的相關(guān)新聞資訊，請(qǐng)關(guān)注財(cái)經(jīng)365外匯頻道！