作者:Apatheticco
EOS的社区信息Telegram群日前报告称,一个被列入黑名单的账户转移了209万个EOS(价值726万美元)。许多人认为这是“黑客”所为,但实际并非如此。真正的问题是,早期EOS仲裁小组用于阻止恶意账户恶意活动的解决方案失效了。为了真正理解这个问题,我们首先要详解EOS的工作原理。
那么,EOS是如何运行的?
EOS是一个支持Dapp的去中心化操作系统,通过委托权益证明系统或DPoS进行操作。 EOS系统能够比PoW或其他PoS系统运行得更快,因为它只有21个节点(区块生产者)来验证交易。EOS网络中的每个人都对排名前21的区块生产者进行投票,每60秒计票一次。任何代币持有人都可以在无需许可的情况下随时以任何理由投票支持任何注册账户作为区块生产者。
Rose这样的人如何获得奖励?通过生产新区块获得报酬。EOS网络中的区块奖励占EOS代币总供应量的百分之一,支付给所有获得足够票数的EOS节点,无论它们是否在前21中。在这一百分之一中,75%支付给投票者(基于由社区投票确定的算法分布在所有节点上)。剩余的25%分配给前21名的区块生产商。节点获得的票数决定每个区块生产者具体获得多少。
回到正题,“黑客”是怎么偷走209万EOS的呢?
回答这个问题要从EOS社区仲裁论坛(ECAF)说起。eosDAC社区的Luke Stokes说,ECAF不像区块生产者那样选举产生,而是在EOS宪法中定义的。ECAF旨在解决社区纠纷。例如,如果有人说另一个帐户偷了他们的代币,ECAF(在确定这个指控是否有事实依据之后)会发出命令,将该有罪的帐户列入黑名单。
21个超级节点必须正确地将黑名单配置到其节点中。这使得当这些被列入黑名单的帐户尝试执行交易时,交易会立即冻结。
然而,ECAF提交的黑名单越长,越多的区块生产商反而越来越沮丧,并指出通过越来越长的黑名单来确保的EOS安全性不是“可扩展的(scalable)”,Stokes说。他们开始提出用于保护代币的替代性安全机制,例如多签名和延时权限。此外,由于21个超级节点必须同意ECAF将哪些账户列入黑名单,因此感觉有点像审查制度,网络安全专业Andrew就表示:
“EOS就是一个被伪装成公链的许可链,治理糟糕,仲裁和法律程序很差。”
Stokes说,黑名单“在社区中引发了很高的期望,大家以为它可以保护人们的财产。”实际上,21个超级节点中只要有一个未能正确配置黑名单就会使整个网络容易受到恶意帐户的影响,这也是209万EOS被转出事件的根源。
最新成为超级节点的games.eos没有正确设置黑名单,因此之前已冻结的209万EOS才能够从黑名单账户中转出来。该账户立即将这些资金分散到各地,EOS区块生产商根本来不及阻止。
这里的一个关键点是,这本身不是一个“黑客”活动,并且它并没有在周末发生。导致209万EOS转账的交易发生在很久以前。Stokes认为,真正的问题在于,黑名单只是一个临时解决方案,一个“创口贴”,掩盖了真正需要解决的问题,即如何防止不良行为账户的不良行为。
有什么办法可以阻止这种情况再次发生?
EOS社区正在研究,但21个超级节点需要就研究方向达成一致。除了使用多签名和延时权限等其他安全机制外,目前还有一项建议是“清除黑名单上的密钥”。 换句话说,要更换黑名单上帐户的密钥,使得这些帐户根本无法在EOS中运行。Stokes认为,到目前为止,21个超级节点中只有两家同意该提案。
Stokes说:
“[ECAF的黑名单]所设定的期望永远不可能实现。我们以前就知道,这种事情迟早会发生。”
声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。
简介:服务于区块链创新者
评论0条