這兩天肆虐的EOS高風(fēng)險(xiǎn)漏洞引發(fā)了全民對(duì)數(shù)字現(xiàn)金市場(chǎng)的焦慮和擔(dān)憂(yōu)。

奇虎360是傳統(tǒng)互聯(lián)網(wǎng)安全領(lǐng)域的巨頭，僅通過(guò)對(duì)高風(fēng)險(xiǎn)漏洞的預(yù)警，它就成為了區(qū)塊鏈業(yè)界的網(wǎng)絡(luò)名人。雖然EOS創(chuàng)始人BM指出制造恐慌是有預(yù)謀的行為，但Block.one最終與HackerOne安全平臺(tái)聯(lián)合推出了EOSIO漏洞獎(jiǎng)勵(lì)計(jì)劃，間接為EOS公共鏈的生態(tài)建設(shè)注入了希望和活力。

然而，在又一波動(dòng)蕩之后，“漏洞”問(wèn)題并未平息，“映射”問(wèn)題成為令人擔(dān)憂(yōu)的話(huà)題。

在地球觀(guān)測(cè)系統(tǒng)在線(xiàn)主線(xiàn)還剩不到兩天的關(guān)鍵時(shí)刻，專(zhuān)門(mén)從事區(qū)塊鏈領(lǐng)域的安全公司PeckShield披露了另一份材料，稱(chēng)“在已繪制的70.02%的地球觀(guān)測(cè)系統(tǒng)令牌中，實(shí)際上有0.23%。令牌映射無(wú)效。根據(jù)當(dāng)天的EOS價(jià)格(12.40美元)，這些代幣價(jià)值約2700萬(wàn)美元。如果在主網(wǎng)絡(luò)啟動(dòng)之前沒(méi)有正確地重新建立這些令牌，

根據(jù)PeckShield的說(shuō)法，目前有兩種類(lèi)型的無(wú)效映射條件:

第一類(lèi)是因?yàn)榱钆瞥钟姓呤褂没ヂ?lián)網(wǎng)上發(fā)布的EOS密鑰(EOS 6 mryajqq 8 ud7 hvnyfnvpjqcvpscn 5 so 8 bhthuyqet 5 gdw 5 cv)進(jìn)行映射，這部分占0.19%。因?yàn)镋OS地址和私鑰的這一部分是公開(kāi)的，所以地址很容易被他人竊取。據(jù)某國(guó)外區(qū)塊廠(chǎng)商候選人EOS Authority昨天發(fā)表的一篇文章“我們從黑客手里省下了1000萬(wàn)美元的EOS”，他們發(fā)現(xiàn)213個(gè)錢(qián)包共享同一個(gè)EOS公鑰，與這些錢(qián)包匹配的私鑰并不是秘密。EOS一旦啟動(dòng)，資金就可以轉(zhuǎn)出EOS主網(wǎng)。

另一種是使用非法密鑰(常見(jiàn)且有用的地址如EOSCrowdsale、EOSTokenContract等作為密鑰)進(jìn)行映射，占0.04%。截至目前，已發(fā)現(xiàn)1243個(gè)非法EOS密鑰和725個(gè)受影響的錢(qián)包地址。

此前，PeckShied公司多次警告EOS主網(wǎng)絡(luò)映射效率低下。上線(xiàn)前兩個(gè)月，76%的EOS爆炸，上線(xiàn)前僅一周，51.7%的token仍未映射，上線(xiàn)前48小時(shí)內(nèi)，29.98%的token仍未映射?？梢?jiàn)EOS的映射問(wèn)題隨著很多交易所和錢(qián)包商的批量映射操作有了很大的進(jìn)步，我寧愿相信映射率會(huì)比在線(xiàn)主線(xiàn)早一秒達(dá)到100%。

但是，如果以上兩種無(wú)效映射出現(xiàn)，沒(méi)有及時(shí)注意到，怎么辦？

眾所周知，EOS制圖涉及上億美元，但這樣低效的制圖效率至少反映了一個(gè)問(wèn)題:制圖過(guò)于被動(dòng)。

一方面，大多數(shù)人對(duì)“作圖”可能產(chǎn)生的問(wèn)題和風(fēng)險(xiǎn)認(rèn)識(shí)不深，認(rèn)為作圖后可以坐以待斃，放松心情，完全忽略了可能產(chǎn)生誤差的問(wèn)題。大多數(shù)選擇個(gè)人手工制圖的人可能會(huì)遇到這種情況。當(dāng)他們確信映射“成功”時(shí)，他們不再關(guān)注映射問(wèn)題，但他們從不防止映射失敗并重新開(kāi)始的可能性。所以建議映射操作完成后，記得借助第三方工具檢查映射是否真的成功。

另一方面，由于個(gè)人手工映射的安全風(fēng)險(xiǎn)太大，大多數(shù)人還是選擇交易所和錢(qián)包商家批量映射。在這樣一個(gè)“智能”的映射過(guò)程中，大多數(shù)人都有“信其所為”的心態(tài)，忽略了可能出現(xiàn)的錯(cuò)誤和風(fēng)險(xiǎn)預(yù)警。比如一旦主網(wǎng)上線(xiàn)，映射失敗了怎么辦，或者即使最后一秒映射出來(lái)了，如果出現(xiàn)這種無(wú)效映射怎么辦？最糟糕的是，即使找到了，也沒(méi)有時(shí)間補(bǔ)救。因此，強(qiáng)烈建議盡快映射最后一個(gè)29.98%Token的貨幣持有平臺(tái)，以便有足夠的時(shí)間糾正錯(cuò)誤，不再延遲。

如果不重新映射，后果會(huì)有多嚴(yán)重？根據(jù)以下不正確的地址余額表，我們可以看到第一大貨幣持有人持有價(jià)值2000多萬(wàn)美元的約1896292張EOS，對(duì)個(gè)人和交易所都是毀滅性的打擊，嚴(yán)重后果可想而知。

寫(xiě)在最后:

在最后測(cè)繪期的48小時(shí)危機(jī)中，關(guān)于EOS測(cè)繪會(huì)暴露出什么樣的問(wèn)題？所有EOS貨幣持有人應(yīng)及時(shí)關(guān)注區(qū)塊鏈證券公司的預(yù)警和媒體報(bào)道，謹(jǐn)防認(rèn)知不足導(dǎo)致資產(chǎn)流失。據(jù)說(shuō)很難防范“臟心”的賺錢(qián)者，一不小心就成了韭菜?，F(xiàn)在認(rèn)知差距也是被割成韭菜的可能性很大。

通過(guò)這一系列的漏洞預(yù)警事件，一直處于幕后的區(qū)塊鏈安全公司也成為了舞臺(tái)上的主角。在頂層監(jiān)管政策不確定的背景下，傾注了數(shù)千億美元的數(shù)字現(xiàn)金市場(chǎng)，成為一群冒險(xiǎn)者爭(zhēng)奪黃金的戰(zhàn)場(chǎng)。沒(méi)有人能說(shuō)清楚他們是賭徒還是信徒，但可以肯定的是，他們需要一些區(qū)塊鏈安全技術(shù)服務(wù)公司戴著“護(hù)衛(wèi)隊(duì)”的光環(huán)來(lái)喂安神湯。

-

請(qǐng)?jiān)谠瓘埼霓D(zhuǎn)載上簽名，歡迎技術(shù)從業(yè)者加入“區(qū)塊鏈啄木鳥(niǎo)”知識(shí)星球，ID 79413906。作者目前從事區(qū)塊鏈安全生態(tài)研究微信號(hào):tmel0211