慢霧科技發布EOS提案系統(WPS)智能合約安全審計報告_BAS

近日，慢霧安全團隊受 EOS 超級節點 EOS Nation 邀請，對 EOS 提案系統(WPS) 開源代碼(https://github.com/EOS-Nation/eos-wps)進行了全面的安全審計，包括但不限于溢出審計、條件競爭審計、權限控制審計、設計邏輯審計、安全設計審計、重入攻擊審計等，審計發現 4 處中危漏洞和 7 處低危漏洞，并提出了 3 個安全增強建議。

經雙方團隊溝通，目前問題均已得到修復，各項審計結果均為通過，已無已知風險。完整的審計報告請見下文或查閱慢霧安全團隊 GitHub：

https://github.com/slowmist/Knowledge-Base/blob/master/open-report/EOSIO.WPS_Smart_Contract_Security_Audit_Report_zh.pdf

聲音 | 慢霧科技余弦：公鏈需應對未來可能的新型51%攻擊挑戰:安全公司慢霧科技創始人余弦今日表示，我和團隊的感覺是，Vitalik 的分享有偷換概念，創造名詞嫌疑。PoW、PoS 各有優劣，也各有自己獨特的 51% 攻擊及治理方式，51% 已經是一個廣義概念了，我覺得最長遠的對抗方式是：這條鏈擁有足夠強的全球共識，以應對未來可能出現的新型 51% 攻擊挑戰。其實所有公鏈都有個持續存在的上帝視角級挑戰，一種根本不計經濟成本的攻擊挑戰，那什么樣的攻擊是不計成本的？此前消息，以太坊聯合創始人Vitalik Buterin近日發表題為《越過51%攻擊》的演講，他表示覆巢式51%攻擊成PoW區塊鏈致命威脅，PoS或是唯一出路。[2020/2/22]

https://github.com/slowmist/Knowledge-Base/blob/master/open-report/EOSIO.WPS_Smart_Contract_Security_Audit_Report_en.pdf

聲音 | 慢霧科技余弦：Blockchain.info等錢包的安全性不值得相信:巨鯨zhoufujian在被黑客盜走價值2.6億元的加密資產后，慢霧科技創始人余弦表示，有一些錢包的安全性不值得相信，例如IOTA的Trinity錢包、BTC的Electrum錢包、支持BTC/BCH的CoPay錢包、Blockchain.com/.info在線錢包、MyEtherWallet在線錢包等。[2020/2/22]

EOS WPS 簡介

EOS 提案系統(WPS)是 EOS 主網的籌資機制，使開發人員和其他價值創造者可以從 EOS 區塊鏈為 EOS 區塊獎勵之外的項目尋求資金。EOS WPS 系統是基于 DASH 提案系統而來，該系統已成功資助了多個讓 DASH 生態系統受益的項目。同時，EOS WPS 系統還借鑒了 EOS Nation 在設計和維護 BOS 生態系統計劃方面的經驗。EOS Nation 已經對這兩個系統中的真實節點、開發人員和令牌持有者的行為進行了長時間分析，以便為 EOS 主網設計一個改進的版本。

聲音 | 慢霧科技余弦：攻擊者通過同樣的手機號搞定目標用戶在 Coinbase 上的權限:慢霧科技創始人余弦針對最近數字貨幣交易平臺的 SIM 卡轉移攻擊發文稱，前些天有人的 Coinbase 賬號遭遇了 SIM Port Attack（SIM 卡轉移攻擊），損失了超過 10 萬美金的數字貨幣，很慘痛。攻擊過程大概是：攻擊者通過社會工程學等手法拿到目標用戶的隱私，并到運營商欺騙得到一張新的 SIM 卡，然后通過同樣的手機號輕松搞定目標用戶在 Coinbase 上的權限。SIM 都被轉移了，這就很麻煩了，基本來說我們很多在線服務都是通過手機號來做的二次驗證或直接身份驗證，這是一個非常中心化的認證方式，手機號成為攻擊的弱點。這個攻擊以前在國內也有不少案例，運營商的風控策略也越來越強大，但策略這東西總是有繞過方式，這種方式主要就是社會工程學，當然也不排除其他方式的結合。不是我不信任運營商或中心化服務，而是這種重要的資產，大家要更加謹慎了，大額的數字貨幣是不是應該有更安全的存放方式？相關平臺的安全風控策略是不是也該多琢磨如何再提升提升？[2019/5/27]

這種去中心化的投票&分配機制，由編碼在 EOS WPS 智能合約中的規則進行管理執行，任何 EOS 帳戶都可以為其特定的項目提出預算提案，并由全體代幣持有者選出的節點針對其提案進行投票。提案經投票獲得通過后，提出提案的 EOS 賬戶可以直接從 eosio.wps 賬戶中獲得相應資助資金。

聲音 | 慢霧科技余弦：盜挖Webchain跟CoinIMP平臺零手續費有關:慢霧科技創始人余弦剛剛在微博表示：難怪最近利用Drupal漏洞植入惡意挖礦腳本的行為里，除了挖門羅幣，還在挖Webchain，這是一條我之前沒關注過的隱私幣（挖礦方面也是基于CryptoNight哈希算法）。原來這與CoinIMP這個挖礦平臺有關，0%手續費呀。[2019/2/27]

EOS WPS 的意義及重要性

在 EOS WPS 出現之前，EOS 生態中缺乏開發者激勵機制，相比其他公鏈，如以太坊，EOS 社區中優秀的開發者無法通過為社區生態做貢獻而領取社區獎勵，加上 EOS 較為高昂的資源成本和節點維護成本，導致很多優秀的項目開發者離開。

EOS WPS 的上線，能有效彌補社區激勵機制的缺失，優秀的 EOS 開發者可以通過 EOS WPS 系統申請開發資金，減輕開發過程中的資金壓力，更好的促進 EOS 生態的發展。

Tags：EOSOINBASBASEeosreelRatscoinBasis Dollar Share2BASED

ICP