谁能解决以太坊和EOS的安全问题？

还记得你第一次接触“区块链”这个概念时，给你的印象是什么吗？ 无论是被比特币致富的神话所吸引，还是被区块链技术的精美设计所吸引，区块链是一个“信任机器”这一点应该是毋庸置疑的。 因此，成为可信机器乃至价值互联网的基础是基于各种数学算法和社会工程学设计带来的“安全感”。 基于安全感，我们有多种便捷可行的区块链项目，如以太坊、EOS等。 然而，从中本聪发布的第一份比特币白皮书开始，区块链技术几十年的发展并没有体现出真正意义上的“安全”——各种黑客事件层出不穷，程序设计由此产生的漏洞让资金感觉他们正面临深渊。 虽然以太坊号称“世界计算机”，EOS号称“企业级区块链”，但它们在资产安全方面都存在着各种漏洞。 以太坊的安全问题 以太坊虽然不是第一个实现智能合约的项目，但却是推动智能合约应用的先行者。 但是，如果智能合约不能被开发者安全可靠地使用，它们将成为以太坊的价值互联网。 阿喀琉斯之踵。 以太坊为了应用智能合约而采用账户（Account）模型，根据不同的使用场景使用图灵完备的编程语言和基于状态的EVM虚拟机，但以上特点也给以太坊带来了不可避免的黑客攻击。 攻击事件。 DAO事件是最著名的针对以太坊的智能合约攻击事件。 2016年，黑客对The DAO智能合约发起攻击。 通过当时智能合约中的Race Condition（可重入和竞争条件）漏洞，The DAO 智能合约在调用函数时进行了多次函数调用。 合约误判了攻击者的资金，导致漏洞的出现，给了黑客窃取合约资金的机会。

以上代码用于以太坊智能合约提取调用方余额。 但是，如果调用者不是用户而是合约地址（两种地址格式几乎没有区别），那么在合约执行前会先执行合约。 调用合约的代码，同理，如果被调用的合约代码指​​向另一个合约地址，后者也会先于被调用的合约执行。 这种对外部合约的重复调用会导致单个合约执行前的逻辑状态不断变化，最终导致各种意想不到的情况。 这就是Race Condition漏洞，The DAO事件的起因也在这里。 图灵完备和复杂的编程语言定义让以太坊在设计上可以满足多种金融需求，但在实际实现中由于复杂度高和程序员技能参差不齐，合约漏洞往往难以解决。 避免。 今年 4 月，以太坊 DeFi 概念遭遇三起攻击，分别是 Uniswap 的 imBTC 重入攻击，造成损失超过 30 万美元； Lendf.me遭遇类似Uniswap的重入攻击； Hegic 的代码错误导致 28,000 美元的用户资金永久无法访问。 以太坊是否可以作为“价值互联网”仍有待商榷。 EOS的安全问题 作为曾经的“以太坊杀手”，EOS虽然为以太坊优化了系统架构和性能，但依然无法回避安全问题。 EOS曾以大量博彩类Dapp高居榜首。 然而，2018 年 12 月，这些 Dapp 全部遭到黑客攻击。 黑客针对EOS的独特设计——通过21个超级节点（简称BP节点）进行智能合约计算和维护区块链，并且为了保持应用程序运行的效率，一些Dapps使用本地节点来执行Dapp结果并稍后上传结果，导致BP节点和Dapp应用程序之间存在数据不同步漏洞。

以上流程为2018年12月19日凌晨BetDice被黑示意图，黑客向Dapp发送游戏请求后，向BP节点发起交易取消申请，参与游戏过程在Dapp的自建节点中。 如果游戏计算结果为黑客获胜，则Dapp会向BP节点发起请求。 向玩家发送胜利奖励。 但是此时BP节点已经收到了“取消比赛”、“参加比赛”、“给予奖励”三个相互冲突的请求，按照时间先后顺序。 根据EOS规定的基于时间的执行策略，“取消游戏”和“给予奖励”被执行但“参与游戏”失败，这样黑客就可以在不支付资金的情况下窃取Dapp奖池中的奖金。

除了智能合约漏洞带来的风险外，由于EOS的DPoS机制，网络中心化程度相当严重。 截至发稿，EOS的21个节点中，中国节点（包括在海外设立但仍由中国控制的节点）多达11个。 ，占全网出块节点的50%以上。 虽然权益证明在一定程度上增加了51%攻击的难度，但如果节点之间达成贿赂共识，EOS网络将容易受到51%攻击； 如果大量网络节点聚集在某个区域，极端情况下会导致该区域大量节点下线，也会导致网络暂时宕机。 EOS能否承载“价值互联网”，还有很长的路要走。 区块链3.0解决方案 以太坊开创的区块链2.0时代给我们带来便利的同时，也加剧了网络安全与网络价值之间的矛盾。 为此，众多项目为追求“价值互联网”的目标不懈努力。 Wisdom Chain是基于UTXO和可验证规则编程的第三代区块链解决方案。 不同于以太坊和EOS，它采用了类比特币的结构设计。 在比特币诞生的 11 年里，除了早期代码原因造成的几次漏洞外，直到今天，比特币很少受到黑客的直接攻击。 黑客攻击的目标多为交易所或其他接受比特币交易的中介机构。 不是对比特币协议的攻击。 比特币设计的安全性是有目共睹的。 然而，比特币不完善的脚本语言、10分钟的出块间隔、1.5M（隔离见证下）的区块大小严重限制了比特币在金融领域的应用。

虽然各种 Layer 2 解决方案如雨后春笋般涌现（如闪电网络和 OMNI 协议），但 Layer 2 本身无法享受比特币的安全性。 如何兼得比特币的安全性和以太坊的灵活性？ 答案是Wisdom Chain的可验证规则编程模型。 所谓“可验证规则编程”，是指交易执行的范围受规则约束，而非合约程序。 规则是静态定义，不同于以太坊智能合约，规则只能由外部事务触发，内部不能触发，并且是非图灵完备的，从而避免代码问题导致的不安全设计，减少人为因素导致网络价值的可能性的损失。 目前Wisdom Chain设计的规则语法包括资产定义、多重签名、有条件支付、存证、抵押、投票等，这些规则硬编码到核心，防止黑客直接攻击规则，开发者只使用时需要填写相应的属性值和动态值谁能控制以太坊，可以通过模板引擎实现相应的“智能合约”（在Wisdom Chain中统称为“交易”）。 兼顾安全性和灵活性。 另外，Wisdom Chain的PoW+DPoS设计，最大出块时间30s，最大块大小4M，以及丢票机制，在保证区块链运行效率的同时，尽量避开EOS系统架构。 中心化风险。 矿工不需要像比特币那样的特殊矿机。 只要达到质押标准，普通家用电脑也可以参与Wisdom Chain的挖矿过程谁能控制以太坊，真正实现了中本聪在白皮书中所说的“1个CPU，1票”。

Wisdom Chain是区块链旭日的沐浴者。 我们仍处于起步阶段。 虽然距离主网上线仅一年时间，但在架构设计上，Wisdom Chain已经能够扛起“价值互联网”的桂冠。 Wisdom Chain不仅保证了用户数字资产的安全，而且正如其创世区块所言，“让信用前所未有地流动，让无限的想象发挥，让无限的价值体现到地球的每一个角落”，真正实现价值互联网是Wisdom Chain的终极目标。

相关链接官网地址：区块浏览器地址：开源代码库：

精彩阅读

请关注WDC官方平台动态微博：WisdomChain 智慧链推特：Wisdom_ChainFacebook：WisdomChain