近期360爆出EOS存在重大安全漏洞。后经各个媒体演绎,这个漏洞会导致交易所,用户钱包被控制、私钥被窃取。。。越传越可怕。到底真相在哪里?是不是只是360的一次自我营销。
经过仔细研读360的安全咨询,发现这次它们指出的安全漏洞实际是来自于EOS的智能合约虚拟机。恶意合约代码,通过虚拟机逃逸来达到对宿主节点的控制。
智能合约这个宝贝诞生于以太坊,是小V对比特币系统中脚本的拓展,也就是把比特币中非图灵完备的脚本系统拓展成了图灵完备。这样大家就可以用以太坊的脚本系统做任何想做的事情了。好happy!
现在问题来了:为什么中本聪不把比特币脚本系统设计成图灵完备呢? 安全问题!安全问题!安全问题!重要的事情说三遍。比特币是如此一个靠谱的系统,以至于它会抛弃所有不靠谱的组成。哪怕这个组成会带来10万倍的优势,但只要有一点点不靠谱,都会被聪叔抛弃掉。图灵完备的脚本系统就是这样被靠谱的比特币抛弃的。
小V是个天降奇才,要在以太坊中把图灵完备给捡回来。不但潜心写就了EVM、还添加了gas机制。gas机制的出现完美解决了无限循环可能对系统造成的阻塞攻击和资源浪费。但是、但是、、、、、
但是什么?以太坊的智能合约虚拟机EVM并不能解决图灵完备带来的更多安全风险。从DAO开始,一系列的以太坊智能合约爆出安全漏洞,一次又一次、一次又一次、不仅现在,以后还会层出不穷。这是以太坊智能合约从诞生之始就从基因里开始注定的。以太坊的作用经过撸猫之后终于找到了自己的价值所在----就是发token。。。。也从此开始了token的漏洞之旅。。。。
量子、小蚁、等等。。。都继承了智能合约但同时也继承了虚拟机的缺陷。EOS的这次漏洞只是虚拟机的小漏洞,不敢预测。。。。后面。。。。
安全的虚拟机必定不会支持一个图灵完备的脚本系统。
Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
If you enjoyed what you read here, create your account today and start earning FREE STEEM!