丁香五月天婷婷久久婷婷色综合91|国产传媒自偷自拍|久久影院亚洲精品|国产欧美VA天堂国产美女自慰视屏|免费黄色av网站|婷婷丁香五月激情四射|日韩AV一区二区中文字幕在线观看|亚洲欧美日本性爱|日日噜噜噜夜夜噜噜噜|中文Av日韩一区二区

您正在使用IE低版瀏覽器,為了您的雷峰網(wǎng)賬號安全和更好的產(chǎn)品體驗(yàn),強(qiáng)烈建議使用更快更安全的瀏覽器
此為臨時(shí)鏈接,僅用于文章預(yù)覽,將在時(shí)失效
金融科技 正文
發(fā)私信給嫣然
發(fā)送

0

IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

本文作者: 嫣然 2018-03-06 18:34
導(dǎo)語:126頁pdf的郵件,真是好大一個(gè)瓜。

雷鋒網(wǎng)AI金融評論按:即使在不斷創(chuàng)造著奇跡的加密貨幣世界,IOTA也是一個(gè)特殊的存在。 

2014年,IOTA作為一個(gè)眾籌項(xiàng)目橫空出世,打著的旗號是一種類似但又優(yōu)于區(qū)塊鏈的新技術(shù),因此也被認(rèn)為是區(qū)塊鏈的一個(gè)“變種”。 在此后兩年時(shí)間中,它很快躍居加密貨幣市值前十行列并長期保持,鮮少跌出前十五。

2017年11 月底開始,IOTA市值暴漲,在短短一周的時(shí)間內(nèi),從 40 多億美金躥升到 100 億美金以上,總市值最高一度達(dá)到 154 億美元。

2018年2月底,IOTA 幣又迎來它世上最大的一次暴漲,價(jià)格突然上升到了 2 美元以上。不僅如此,其 24 小時(shí)交易量也飆升至了 1 億美元以上(數(shù)據(jù)來自CoinMarketCap)。據(jù)稱,這一急劇增長給IOTA早期代幣投資人帶來了近1500多倍的回報(bào),使IOTA成為數(shù)字資產(chǎn)市場少有的千倍回報(bào)項(xiàng)目之一。這不能不說是它創(chuàng)造的又一項(xiàng)奇跡。

IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

圖片來自Coin Market Cap

然而,IOTA的這波利好可能要?dú)w功于2月末的一次郵件泄露事件。該事件則牽扯到麻省理工學(xué)院“數(shù)字貨幣計(jì)劃”(Digital Currency Initiative,DCI)與 IOTA 之間曠日持久的安全漏洞之爭。 

一、被稱為物聯(lián)網(wǎng)支柱的IOTA

一切還要從IOTA的特殊性說起。 

IOTA并不基于目前流行的區(qū)塊鏈,而是一種截然不同的技術(shù)。它的宗旨是利用DAG(有向無環(huán)圖,IOTA里叫做Tangle——纏結(jié))代替區(qū)塊鏈,實(shí)現(xiàn)分布式、不可逆(由密碼學(xué)保證)信息傳遞的一種技術(shù),在此基礎(chǔ)上集成加密貨幣功能。它專注于在物聯(lián)網(wǎng)上的機(jī)器之間的支付和通信。不少人稱其是“區(qū)塊鏈 3.0”(比特幣-區(qū)塊鏈 1.0;以太坊-區(qū)塊鏈 2.0)。


IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

圖丨 IOTA 和其它加密貨幣的區(qū)別  

區(qū)塊鏈共識是通過一個(gè)非常嚴(yán)格的機(jī)制完成的,添加下一個(gè)區(qū)塊需要多方進(jìn)行競爭,并獲取區(qū)塊獎(jiǎng)勵(lì)或交易手續(xù)費(fèi)。正因如此,共識和交易生成是分離開的,并且由網(wǎng)絡(luò)的一小部分人來完成,通常會設(shè)置較高門檻(就像比特幣一樣)。這會導(dǎo)致進(jìn)一步的中心化。

在IOTA系統(tǒng)中,網(wǎng)絡(luò)中的每位參與者都能進(jìn)行交易并且積極參與共識。更具體點(diǎn)說,你直接定位了兩筆交易(主交易和分支交易),且間接在子tangle中定位其它交易。通過這種方式,驗(yàn)證就能同步進(jìn)行,網(wǎng)絡(luò)能夠保持完全去中心化,不需要礦工傳遞信任,也不需要支付交易手續(xù)費(fèi)。

這種零交易手續(xù)費(fèi)的設(shè)計(jì),特別適合未來物聯(lián)網(wǎng)時(shí)代的數(shù)據(jù)交換。

物聯(lián)網(wǎng)(IoT)無可置疑將是未來對人類生活產(chǎn)生重大影響且最具潛力的領(lǐng)域之一。在今后的幾年中,互相無縫接駁的設(shè)備將極大地豐富和方便我們的生活。當(dāng)然,這些相互連接綁定在一起的物聯(lián)網(wǎng)也會面臨大量障礙需要解決,其中一個(gè)主要的問題就是小額交易。物聯(lián)網(wǎng)設(shè)備必須能夠彼此之間無摩擦地進(jìn)行自動支付,并且無需在產(chǎn)品設(shè)計(jì)之中妥協(xié)而引入額外的硬件。

這就是IOTA設(shè)計(jì)的初衷,也是它當(dāng)前的最大應(yīng)用。因此自從IOTA發(fā)布以來,一直非常被看好,甚至被稱之為“物聯(lián)網(wǎng)”支柱。

二、DCI vs IOTA:“郵件門”里的安全漏洞之爭

然而在這一過程中,來自DCI的、對IOTA安全漏洞的質(zhì)疑卻從未止歇。直到這次郵件泄露,讓整個(gè)事件走向高潮。IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

一切始于2017年初夏。

2017年5月,IOTA團(tuán)隊(duì)與麻省理工學(xué)院附屬的學(xué)術(shù)研究組DCI取得聯(lián)系,請他們審計(jì)IOTA的Tangle是否有漏洞。

7月15日,IOTA收到了Ethan Heilman的回應(yīng),提醒IOTA團(tuán)隊(duì),DCI已經(jīng)對該系統(tǒng)進(jìn)行了成功的攻擊。通過這種攻擊,可以竊取用戶資金。DCI團(tuán)隊(duì)無法實(shí)際實(shí)施這一攻擊,但認(rèn)為這在理論上是可行的。 

我們發(fā)現(xiàn)在IOTA的加密哈希功能函數(shù)Curl中有嚴(yán)重的漏洞,這些弱點(diǎn)威脅到IOTA中簽名和PoW的安全性,因?yàn)樗鼈兯蕾嚨腃url是偽隨機(jī)和碰撞抵抗的。

DCI告知IOTA哈希算法Curl-P的弱點(diǎn),還有碰撞攻擊和“第二原像安全”漏洞。DCI同時(shí)附加了一個(gè)演示沖突的文檔,并建議開發(fā)人員放棄專有散列算法Curl-P,使用熟悉的、已建立的散列函數(shù)(如MD6)。

8月,IOTA團(tuán)隊(duì)推出了Keccak取代此前備受質(zhì)疑的Curl算法。

9月,DCI告訴IOTA,他們將發(fā)布關(guān)于IOTA加密貨幣安全漏洞審查報(bào)告,并給IOTA團(tuán)隊(duì)發(fā)送了一份報(bào)告草稿。IOTA基金會對此表示抗議,但DCI隨后仍發(fā)布了該報(bào)告。9月7日報(bào)告發(fā)出后,IOTA價(jià)格陡跌,二十四小時(shí)之內(nèi),跌幅達(dá)15%。

IOTA很快發(fā)出公開聲明做出回應(yīng),認(rèn)為DCI的行為缺乏學(xué)術(shù)道德,因?yàn)椤柏?zé)任披露期”尚未結(jié)束,同時(shí)DCI并未在事實(shí)上證明他們所說的安全隱患;并對DCI所說的四點(diǎn)逐條反駁,尤其是對于DCI所指出的密碼漏洞。

IOTA表示,Curl-P的實(shí)際意義在于作為針對詐騙驅(qū)動的IOTA克隆的復(fù)制保護(hù),是作為防范開源軟件模仿者的必要措施。也就是說,DCI之前發(fā)現(xiàn)的所謂的漏洞,實(shí)際上是 IOTA 團(tuán)隊(duì)故意設(shè)計(jì)出來的防止代碼被模仿的措施。

IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

IOTA對于DCI“安全漏洞”報(bào)告回復(fù)第一部分截圖

DCI對這一解釋并不買賬。至此,雙方的罵戰(zhàn)從原本私密的郵箱溝通,轉(zhuǎn)變?yōu)樵谕铺氐壬缃幻襟w的公開罵戰(zhàn)。在此期間不斷有人加入站隊(duì)指責(zé)對方,戰(zhàn)爭日趨白熱化。

直到2018年2月,雙方私密交流郵件被公布。

長達(dá)125頁pdf的郵件披露之后,引起了多方熱議。但從市場反應(yīng)來看,IOTA價(jià)格飆升至2美元,24小時(shí)交易量也激增至1億美元以上。顯然,更多的人在閱讀郵件之后,選擇了認(rèn)同IOTA一直以來的說法,即DCI沒有能夠在事實(shí)層面證明它一直以來堅(jiān)稱的漏洞,而IOTA不存在真正的安全問題。

IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

雷鋒網(wǎng)AI金融評論為您摘錄了以下郵件中值得注意的部分。主要發(fā)生在IOTA 開發(fā)團(tuán)隊(duì)成員 David S?nsteb?和 Sergey Ivancheglo 與 DCI 成員 Ethan Heilman 和 Neha Narula以及IOTA開發(fā)商 Sergey Ivancheglo之間。

“Ethan顯然處于完全的利益沖突之中,并且為了自己的利益而推動這種利益沖突,這不再是關(guān)于學(xué)術(shù)價(jià)值的問題,而是Ethan為了掙錢的絕望嘗試。如果確實(shí)如此,我們將盡可能公開地使用所有資源來闡明這一點(diǎn),如果Ethan不立即聯(lián)系所有他曾傳播過這個(gè)故事的人,并收回他的所有陳述?!盌avidS?nsteb?(第117頁)

責(zé)任披露期限已經(jīng)結(jié)束了;而你們修復(fù)了我們找到的漏洞,并部署了修復(fù)程序。我們原來的協(xié)議規(guī)定,責(zé)任披露期限結(jié)束之前,也就是8月12日,我們必須給你們時(shí)間修正。這已經(jīng)過去了!但是,聽取你認(rèn)為報(bào)告中可能出現(xiàn)的錯(cuò)誤對我們非常重要,這樣我們可以修改它們。但恐怕我不同意你關(guān)于利益沖突的話。無論如何,我是第一個(gè)接觸這個(gè)話題的記者,所以你應(yīng)該直接面向我,而不是Ethan?!?- Neha Narula(第118頁)

Neha,你是清醒的嗎?代碼中的重復(fù)錯(cuò)誤會導(dǎo)致數(shù)周的延期,而且你沒有回答我提出的哪怕一半問題。這是我見過的“學(xué)術(shù)界”最不專業(yè)的行為......你拿著預(yù)印本沖向了媒體,就像你一個(gè)小時(shí)前與Sergey的最后一次溝通一樣,仍然有很多未解決的問題。什么樣的學(xué)者會在同行評議之前就先涌向新聞界? - DavidS?nsteb?(第119 - 121頁)

我們會在深思熟慮之后接受Sergey的建議。您可以告訴我們您認(rèn)為的報(bào)告中是否有任何其他事實(shí)問題,我們也會接受意見。我們將在明天發(fā)布。“ - Neha Narula(第122頁)

我認(rèn)為,如果你的團(tuán)隊(duì)修復(fù)了Ethan調(diào)查結(jié)果中的所有問題,就沒有什么可以發(fā)表了。1天是不夠的,你可以在實(shí)踐中將“攻擊”擴(kuò)大到可能的情況,所以讓我們在公開情況下繼續(xù)爭執(zhí)吧?!?- Sergey Ivancheglo (第124頁)

三、“玻璃杯中的風(fēng)暴”:函數(shù)漏洞還是商業(yè)利益威脅?

來看看IOTA受到質(zhì)疑的根源。

要了解這一點(diǎn),必須先說哈希函數(shù)。作為一種數(shù)學(xué)運(yùn)算,哈希函數(shù)可以將任何字符序列(一個(gè)字,一個(gè)句子,一個(gè)隨機(jī)字母串)轉(zhuǎn)換為另一個(gè)特定長度的字符串。哈希函數(shù)最重要的特性首先是確定性的,這意味著給定的輸入總是會得到相同的結(jié)果(哈希),不管什么時(shí)候。其次,不可能從輸出哈希函數(shù)獲得輸入(因此哈希函數(shù)也被稱為單向函數(shù))。

對于加密貨幣來說,哈希函數(shù)通常用于兩件事情:首先,哈希函數(shù)不用于交易本身,而用于簽名,其次,哈希用于構(gòu)建挖礦或者PoW,這在IOTA里重要性僅次于交易本身。

使用哈希函數(shù),所謂的沖突是可能的,即兩個(gè)不同的輸入導(dǎo)致相同的輸出。這是不可避免的,因?yàn)榇嬖跓o限數(shù)量的可能的字符串(輸入),但由于輸出的哈希長度有限,數(shù)量也有限。嚴(yán)格來說,有無數(shù)的可能的沖突碰撞。但遇到這種情況的可能性非常小,以至于可以忽略這種危險(xiǎn)。

但是,如果可能故意造成沖突,其后果顯然是毀滅性的:人們可以操縱交易內(nèi)容而不必更改簽名,也可能偽造或縮短工作證明。

根據(jù)DCI研究人員的研究觀點(diǎn),IOTA的哈希函數(shù)可能會導(dǎo)致這一結(jié)果。也就是說,攻擊者有機(jī)會進(jìn)行沖突交易的攻擊,由此給使用者造成損失。

對此IOTA的解釋是,這些漏洞是有意識地添加到代碼中,主要是作為版權(quán)保護(hù)目的用。這個(gè)解釋是否具有說服力不論,但這種做法對于開源代碼社區(qū),其實(shí)是有點(diǎn)不夠光彩。

IOTA同時(shí)還指出,DCI所描述的“密碼漏洞”基本上要求攻擊者要同時(shí)知道他們不知道的事情,做他們做不到的事情,還要說服技術(shù)熟練度非常高的用戶去故意破壞自己。

無論如何,IOTA隨后放棄使用了CURL算法,但是雙方關(guān)于此的爭論并未停止,反而一再升級。焦點(diǎn)似乎停留在誰對誰錯(cuò)、以及IOTA開發(fā)人員在多大程度上嚴(yán)格執(zhí)行了業(yè)界公認(rèn)的標(biāo)準(zhǔn)上。

與此同時(shí),IOTA備受質(zhì)疑的一個(gè)原因是,使用密碼學(xué)公認(rèn)的原則是使用已經(jīng)試驗(yàn)過、驗(yàn)證過的密碼,而不是自創(chuàng)。但I(xiàn)OTA則正是自創(chuàng)了自己的密碼。

正因?yàn)槿绱?,也有媒體認(rèn)為,電子郵件交流中,DCI似乎傾向于認(rèn)為IOTA一定是脆弱的,因?yàn)樗切碌?。然后(DCI)在意識到它比預(yù)期更好、更安全和更強(qiáng)大之后,被迫拖延行動,散播懷疑論。持此論點(diǎn)的媒體認(rèn)為,這要么是由于DCI在Curl加密方面相對缺乏經(jīng)驗(yàn),要么就是由于IOTA對DCI的商業(yè)利益構(gòu)成威脅。

IOTA被曝“郵件門”引市值暴漲:“區(qū)塊鏈3.0”安全漏洞之爭,還是學(xué)界項(xiàng)目方利益沖突?

這種“陰謀論”并非空穴來風(fēng)。事實(shí)上,MIT DCI小組成員中有多位與區(qū)塊鏈技術(shù)關(guān)系密切,譬如Zcash的白皮書撰寫者(Madars Virza),比特幣閃電網(wǎng)絡(luò)技術(shù)的支持者(Neha Narula & Tadge Dryja)。據(jù)Discord的一些消息稱,MIT DCI其中還有成員與Engima數(shù)字貨幣項(xiàng)目的關(guān)系密切,而Engima前不久剛剛發(fā)布了數(shù)據(jù)市場項(xiàng)目。這些人代表了區(qū)塊鏈技術(shù)全球最堅(jiān)挺的支持者,如果區(qū)塊鏈技術(shù)被以DAG為基石的纏結(jié)所撼動,那等于他們一直以來的學(xué)術(shù)研究與努力,以及未來所將擁有的財(cái)富與名譽(yù)或許都將蕩然無存。

然而,在今年 DeepTech 深科技主辦的 EmTech China 峰會上,麻省理工學(xué)院 DCI 的負(fù)責(zé)人 Neha Narula 對 DCI的介紹言猶在耳:“他們有一個(gè)共同的特點(diǎn),那就是他們都不是加密貨幣的既得利益者,我們的目的就是要能保持中立,這樣才能評價(jià)出一項(xiàng)技術(shù)的真正價(jià)值。” 

郵件泄露事件發(fā)生后,IOTA聯(lián)合創(chuàng)始人David Sonstebo在一封電子郵件中表示:

“這些電子郵件的內(nèi)容確鑿無疑地證明了我們一直說的話:DCI從未發(fā)現(xiàn)他們聲稱的漏洞,整個(gè)故事都是“一個(gè)小玻璃杯中的風(fēng)暴”。

“至于IOTA代幣持有者,當(dāng)然沒有什么可擔(dān)心的。即使是未經(jīng)證實(shí)的假設(shè)性漏洞也于2017年8月得到了解決。此外,由于DCI的報(bào)告論述錯(cuò)誤,IOTA正面臨著加密歷史上最大的懷疑論?!?/p>

IOTA同時(shí)在官網(wǎng)發(fā)布聲明,表示如果DCI不能或不愿公開上述所有文件(以證明安全漏洞),IOTA要求他們徹底收回報(bào)告,并發(fā)表簡短的道歉。如果DCI能夠充分的澄清和披露他們的結(jié)果,并且發(fā)現(xiàn)了一個(gè)實(shí)質(zhì)性的漏洞,IOTA“將會非常高興,并且承認(rèn)我們的錯(cuò)誤以及為此道歉?!?/p>

目前,DCI尚未對此做出回應(yīng)。

然而有一點(diǎn)顯而易見:DCI發(fā)布的IOTA漏洞報(bào)告發(fā)布至今已有半年的時(shí)間,在此期間加密世界發(fā)生了多起黑客事件,無數(shù)資金流失,然而沒有任何人成功的利用DCI所指出的漏洞對IOTA發(fā)動攻擊,沒有用戶因?yàn)榇寺┒炊l(fā)生資金被盜的情況。

究竟后續(xù)如何,雷鋒網(wǎng)AI金融評論將持續(xù)為您跟進(jìn)報(bào)道。

雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知

分享:

編輯

專注區(qū)塊鏈與幣圈。微信號:742603835
當(dāng)月熱門文章
最新文章
請?zhí)顚懮暾埲速Y料
姓名
電話
郵箱
微信號
作品鏈接
個(gè)人簡介
為了您的賬戶安全,請驗(yàn)證郵箱
您的郵箱還未驗(yàn)證,完成可獲20積分喲!
請驗(yàn)證您的郵箱
立即驗(yàn)證
完善賬號信息
您的賬號已經(jīng)綁定,現(xiàn)在您可以設(shè)置密碼以方便用郵箱登錄
立即設(shè)置 以后再說