http://www.fsfzs.com

“假充值”带来的拷问:到处是bug,代码还是法律吗?

慢雾区撕裂开区块链世界里的信仰,让人审视。

从USDT“假充值”漏洞披露开始,区块链世界“代码法律”的信仰基础,就面临着代码到处是bug的冲击。

7月9日,“假充值”漏洞事件走向高潮。

慢雾区发布以太坊相关代币“假充值”漏洞预警,影响对象至少包括相关中心化交易所、中心化钱包、代币合约等。

ThinkBit创始人王桂杰分析认为,这次漏洞的危害性非常大,处理不好不但会给相关的交易所和代币带来严重影响,还会沉重打击整个区块链行业。

两天后(7月11日),慢雾区公布以太坊代币“假充值”漏洞详细报告,单代币合约就有不低于 3619 份存在“假充值”漏洞风险,其中不乏知名代币。

漏洞风险面前,信仰还在吗?

风险

代码到处是Bug

“这次漏洞,主要针对的是交易所,给交易所‘假充值’巨量的代币,进而可能严重影响相应代币的价格。”

在王桂杰看来,代币本身主要是合约编写不规范,造成有些不严格校验结果的交易所“假充值”的现象。

这与来自康奈尔大学的计算机学教授Emin Gun Sirer不谋而合。

这位曾于 2004 年找到黑掉 FBI 网站方法的着名黑客,从区块链的缺陷及其面临的技术挑战出发,试图警示人们:该技术还处于非常早期的阶段,不应过于狂热。

“规则到底是什么?在计算机学里,对规则描述可以由外部技术说明文档来定义。但对于区块链及其应用来讲,这种定义方式完全不适用——区块链世界没有统一的规范的规则。”

大多韭菜都听说过Code is Law(代码即法律),是因为EOS创始人BM曾发文阐述。

但这句话最初出处是劳伦斯·莱斯格,在完全不同的语境下提出的概念,“代码即规则”。这个说法多少解释了区块链的一些应用情况,比如,一旦代码写出来开始执行,就就永远无法收回了。

在2017年麻省理工科技评论区块链峰会上,Emin Gun Sirer提醒大家,代码并不是规则,规则才是规则,而且代码到处是bug!

实际上,BM发文代码即法律后不久,就着手开始了EOS的宪法修改,目的正是修正存在bug的规则。

“假充值”带来的拷问:到处是bug,代码还是法律吗?

数据提供:searchain.io

往事

比看到的要惨烈

ETH的The DAO 事件,王桂杰至今记忆犹新。The DAO是他投资的第一个token,最后因为合约的安全问题,灰飞烟灭。

“它的代码极其复杂,好像是为了玄技一样。”

“复杂就意味着能审查的人少,出问题概率大。”历史可鉴,在王桂杰看来,“Code is Law”是有前提的,只有经过时间考验,足够安全可验证的少量简单代码,才能依靠。

除了一些被公开的黑客攻击,这次被慢雾区暴出的漏洞,也只是实际漏洞的一小部分。

“假充值”带来的拷问:到处是bug,代码还是法律吗?

资深区块链专家Tom分析认为,在区块链世界里bug的危害力会更加放大。

对于区块链动辄几十万行的代码量,安全漏洞时不时就冒出来,按目前的工业标准允许每一百行代码中存在一个 bug。

但事实并非如此,2010 年 8 月那个利用整数溢出漏洞凭空创造出 1840 亿个365bet取款_365bet _皇冠365bet下载币的黑客(365bet取款_365bet _皇冠365bet下载币设计之初的限额仅为 2100 万个),差点彻底毁灭了365bet取款_365bet _皇冠365bet下载币。

365bet体育官网一位区块链安全行业从业者告诉《区块链广场》,有很多低调的、更牛逼的白帽子安全团队不愿意高调宣传自己;也有很多漏洞可能已经长期被利用,但是没有黑客愿意爆出来,因为可以持续利用和赚钱。

对于项目方,ThinkBit的建议是合约代码最好保持最简单的形式,尽量避免问题;对于用户,数字货币基金交易平台ExTrade建议把不打算随时交易的数字资产冷储存。

信仰

罗马不是一天建成的

过去一周,“假充值”事件并没有进一步恶化数字货币的走势。

更多的区块链技术能力者仍然坚持着他们的信仰,token经济的活力、共识机制的魅力、去中心化的想象空间……

面对《区块链广场》的问卷调查,一线的区块链技术从业者大都从建立良好区块链世界生态的愿景出发,来看待bug、黑客和信仰之间的关系:

基于区块链的互联网3.0刚刚起步,坚定不动摇;

罗马不是一天建成的,偶尔掉块砖 ,不必大惊小怪;

每个平台都是一把双刃剑,就像人民币,有真也有假;

黑帽和白帽对促进整个行业的基础安全水平都是有好处的,他们就像啄木鸟一样的存在。

他们也承认目前区块链技术还很难进入日常生活情景使用,主要制约就是底层技术还未准备好:性能问题未解决、安全太薄弱、产品大众化使用等。

但他们相信技术问题最终都能解决,需要更多时间等待基础设施建设完善,普及开来的时候可能就是一眨眼之间。

不论是否是为慢雾币造势,慢雾区撕裂开区块链世界的信仰让人审视,并最终落脚到区块链世界的安全提高意识上来。

慢雾区发布“假充值”漏洞预警后,火币、OKEx、ThinkBit等交易平台纷纷进行了技术排查,表示不存在此漏洞或不受影响。

自此之后,用户如何鉴别交易平台以及项目代币的安全性,显得更为重要。尤其最近市场新出交易所很多,良莠不齐。

实际上在慢雾区发布“假充值”漏洞风险之前,上述不愿具名的区块链安全行业专家在技术排查时就已经发现了这些问题。

“假充值”带来的拷问:到处是bug,代码还是法律吗?

数据提供:searchain.io

王桂杰认为,“区块链行业可能比传统互联网对安全服务的需求更加巨大,可能会诞生更大的安全服务团队。”

MoFAS、白帽汇、Haloblock.io、PeckShield等公司,都已经区块链安全领域深耕。

黑客和白帽子的战争,或许会让区块链更快成长。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。