文/Robin


2021 年 5 月 14 日,flash.sx 闪电贷智能合约自 19:28 开始遭受到重入攻击(re-entry attack),相继有约 120 万枚 EOS 和 46.2 万枚 USDT 被盗。

盗走的 EOS 被黑客转入 aquudqdmxesw,然后被分配到多个账户,盗走的 USDT 被转入 potghpfcmocs。然而这些账号发生了什么?EOS 社区发动 15 个 BP 多签,已经把所有涉及的账号全部修改为 eosio.prods 的权限,也就是说黑客的这些账号,他都无权限操作了。

EOS Nation 在这个 页面 也简单阐述了,大意是说 vaults.sx 和 flash.sx 智能合约是开源的,且通过了安全审计,但没及时发现 re-entry 攻击,被盗的代币目前是安全的,所有资金都在 eosio.prods 的安全控制下,并将会被返还给存储用户。

精明的黑客发现了漏洞,发起了攻击,但是在 BP 的强力干涉下,可以说是竹篮打水一场空。这种强力干涉,说好听就是合理的治理,说好不听违背区块链的初衷,这跟中心化数据库改数据没太多的区别,无非是多个 BP 一起同意这个操作。

早在这个案例之前,EOS 就有黑名单的机制,只要 BP 把 EOS 账号加入这个黑名单,就不会打包这个 EOS 张账号的交易。之前因为有些 BP 不上心或者是压根不认同这种做法,就没有配置(或者漏了)黑名单,导致黑客掐准时间,给没有配置黑名单的 BP 发送交易,然后正常打包了,也就是转账成功了。

此次攻击更好,BP 联合起来干脆把 EOS 账号的权限改了。诚然这种行为可以帮助用户找回资产,确实是件好事,但是有了这样的开头,用户还信任 EOS 是去中心化的区块链网络吗?既然 BP 可以冻结黑客的账号,理论上可以冻结任意的账号,这个治理的边界又在哪里?

既然黑客发现了漏洞,而且还是发现的审计遗漏的,那证明黑客的攻击就是有意义的,至少帮助应用或者说整个 EOS 区块链网络发现问题,但是对应的回报却是零。从理想的角度来看,这样的治理可能会让 EOS 区块链网络更安全,因为黑客都不敢来了,反正最后都是徒劳。但是假如一个公链没有黑客的到来,想不到这条公链有什么价值,要知道以太坊上的安全事件就太多了(以太坊网络本身没有冻结的机制,冻结的情况一般都是交易所、中心化的 USDT 等),我们看到的却是以太坊越挫越强。

关于这个事件,你怎么看?


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)