Уязвимость EOS исправлена, но вопросы остались
0 Прибыльные проекты прошедшие проверку редакции сайта
Компания Qihoo 360 (КНР), которая занимается вопросами кибербезопасности, сегодня сообщила о наличии в платформе EOS серьезной уязвимости. Информация об этом появилось в twitter-аккаунте cnLedger.
«Эта уязвимость может быть использована для достижения удаленного выполнения кода путем загрузки вредоносных контрактов на узел-жертву. Хакер может украсть закрытый ключ узла или контролировать содержимое новых блоков. Более того, злоумышленники могут упаковать вредоносный контракт в новый блок и опубликовать его. В результате они смогут контролировать все узлы сети».
Сообщается, что на момент публикации ошибка уже была устранена. Тем не менее неясно, состоится ли запуск EOS в этот уик-энд или будет отложен.
Ошибки, конечно, иногда могут возникать. Но подобная слишком явная ошибка, которая позволила хакерам пробиться к коду за несколько дней до запуска проекта, – явление не вполне обычное, которое сразу же заставило заговорить о некомпетентности команды. Маловероятно, что опытный разработчик мог допустить нечто подобное. К тому же риск, что эта ошибка может быть не последней, многократно повышается.
Разумеется, смарт-контракты очень сложно кодировать, из-за одной недостающей в них запятой можно потерять миллионы. Кодирование полной цепочки Тьюринга, которая выполняет такие интеллектуальные контракты, еще сложнее. Но опять-таки эта ошибка не является новой или какой-то необычной, чтобы ее могли пропустить эксперты. Таким образом, предполагается либо некомпетентность, либо безответственность команды.
Подобная ошибка была обнаружена ранее в Bitcoin Unlimited. Но это был проект более низкого уровня, которым занимались люди без достаточного опыта в кодировании биткоин-протоколов, и тогда они легко признали свою оплошность.
Получается, годы работы Дэна Ларимера не дали ему достаточных знаний, чтобы не допустить элементарной ошибки? Возможно, кодированием занимался не он? Но может быть и другой вариант: наконец найдено объяснение, почему ни один из проектов Дэна не стал настоящим событием в криптоиндустрии.
