Вот как действительно произошел «взлом» EOS на 2,09 миллиона
Джессика КляйнПодписывайтесь на канал "Записки блокчейнера" https://t.me/icomap, чтобы ничего не пропустить
На выходных группа Telegram «Обновления сообщества» EOS сообщила о переводе 2,09 миллиона EOS (на момент написания этой статьи на сумму 7,26 миллиона долларов США) в черный список. Многие сообщили об этом случае, как о работе «хакера», но это не совсем то, что произошло. То, что произошло на самом деле, связано с отказом раннего решения EOS-арбитража групп по блокировке нечестных счетов. Чтобы действительно понять, что произошло, мы сначала должны разобраться, как работает EOS.
Итак, как работает EOS?
EOS - это децентрализованная операционная система, которая поддерживает dapps (например, Karma, как Instragram с токен-стимулами, доступными на iOS и Android). Он отличается от других блокчейнов тем, что вместо проверки работы, он работает через делегированную систему проверки участия или DPoS. Система EOS способна работать быстрее, чем PoW или другие системы PoS, потому что есть только 21 основной узел EOS или производители блоков, которые должны проверять транзакции, в отличие от многочисленных распределенных майнеров в других сетях блокчейна.
Каждый в сети EOS голосует за 21-го производителя блоков, и подсчет этих голосов происходит каждые 60 секунд.
Технически, топ-21 блок производителей может отличаться каждую минуту, и они меняются довольно часто.
«Гарантийный срок работы производителя блоков составляет 60 секунд», - говорит Кевин Роуз, соучредитель и глава сообщества в EOS New York.
EOS New York является топ-21 производителем блоков с момента своего основания, но это не случайно. Его члены работают постоянно, и они базируются по всему миру, чтобы обеспечить работу 24/7. Например, когда американские члены производителей блоков спят, китайские участники могут продолжать работать.
Роуз лично говорит, что он работает «с момента, когда я просыпаюсь, до того момента, когда я засыпаю почти каждый день».
Как пблок продюссеры получают вознаграждение?
Получая оплату за производство новых блоков. Награды за блокировку в сети всегда составляют один процент от общего количества токенов EOS и выплачиваются на всех узлах EOS, которые получают достаточное количество голосов, независимо от того, входят они в число лучших 21. Из этого одного процента 3/4 относится к «оплате избирателей», которая распределяется по всем узлам на основе алгоритма, определенного голосованием сообщества. Другая 1/4 часть идет на «блокировку оплаты» и выделяется на топ-21 блок производителей. Голоса определяют, сколько банка получает каждый производитель блока.
Если вы хотите визуализировать головную боль от топ-70 производителей блоков, попробуйте разобраться в этом. Изображение найдено здесь.
Эти голоса явно важны. Что определяет, как члены сообщества EOS отдают свои голоса?
«Любой владелец токена может голосовать за любую зарегистрированную учетную запись в качестве производителя блока по любой причине, в любое время без разрешения», - говорит Роуз.
Это похоже на голосование за политика, уточняет он. Вы можете голосовать, основываясь на том, кто думает, что делает хорошую работу, совпадают ли их взгляды на то, как должен работать EOS, с вашим настроением в тот день (или, скорее, вашим настроением в ту минуту, во время подсчета голосов EOS).
Вот почему общение необходимо для того, чтобы продюсеры блоков были в топ-21.
Для участников, говорящих по-английски, Telegram, Twitter и прямые электронные письма являются одними из основных способов общения производителей блоков с избирателями. В других случаях они появляются в «ток-шоу или подкастах», говорит Роуз, как политики, или путешествует в другие страны, где сконцентрированы токены EOS, такие как Китай и Южная Корея. «Это глобальная работа», - говорит он.
Как насчет «хакера», который украл 2,09 миллиона EOS?
Ответ на этот вопрос начинается с ECAF или Арбитражного форума сообщества EOS.
ECAF не был избран, как производители блоков, а скорее определен в Конституции EOS , говорит Люк Стоукс, член сообщества eosDAC из Пуэрто-Рико, еще один производитель блоков.
ECAF предназначался для разрешения споров в сообществе. Например, если кто-то сказал, что другой аккаунт украл их токены, ECAF (после определения того, была ли эта претензия заслуживающей внимания) выдаст приказ о внесении виновного аккаунта в черный список.
Чтобы гарантировать сохранение этого черного списка, производители из 21-го блока должны правильно настроить этот черный список на свои узлы. Это объясняется тем, что когда эти учетные записи из черного списка пытаются выполнить транзакции, транзакции немедленно замораживаются.
Тем не менее, чем больше заявок в черный список было подано ECAF, тем больше разочаровывались производители блоков, указывая на то, что растущий черный список для обеспечения безопасности EOS не был «масштабируемым», говорит Стоукс. Они начали предлагать альтернативные механизмы безопасности для защиты токенов, такие как разрешения с несколькими сигнатурами и задержкой по времени. Кроме того, поскольку ведущие 21 производитель блоков должны были договориться о том, какие учетные записи следует занести в черный список, это выглядело как цензура, которая не вписывалась в безосновательный дух EOS, говорит он.
Так что насчет уже украденных 2.09 миллионов EOS?
Черный список, говорит Стоукс, «создает в сообществе действительно невероятные ожидания того, что [он] может каким-то образом защитить собственность людей». На самом деле, один из лучших производителей блоков из 21, не настроивший правильно черный список, сделает всю сеть уязвимой для плохих учетных записей. И это именно то, что произошло с 2,09 млн. EOS.
Новый топ-21 производитель блоков, games.eos, неправильно настроил черный список. Таким образом, ранее замороженные 2,09 миллиона EOS были переведены в черный список. Счет немедленно распространил эти средства повсюду, слишком быстро для производителей блоков EOS, чтобы устранить утечку.
«Я могу сказать вам, что они больше не продюсеры блоков», - говорит Роуз.
Ключевым выводом здесь является то, что это не «взлом», как таковой - и это не произошло в выходные. Передача, которая привела к перемещению 2,09 миллиона EOS, произошла очень давно. С точки зрения Стоукса, реальная проблема заключается в том, что черный список был временным исправлением, бандомидом, охватывающим большую проблему предотвращения краж со счетов с плохой репутацией.
Что мешает этому случиться снова?
Сообщество EOS работает над этим, но ведущие 21 производитель блоков должны договориться о дальнейших дйствиях. Помимо использования других механизмов безопасности, таких как разрешения нескольких подписей и задержка по времени, существует текущее предложение «обнулить ключи в черном списке», - говорит Стоукс, - другими словами, заменить ключи учетных записей в черном списке. Эти учетные записи больше не могут работать в EOS вообще. Стоукс считает, что только два из ведущих производителей блоков 21 одобрили это предложение.
«Ожидания, которые были установлены [черным списком ECAF], никогда бы не оправдались», - говорит Стоукс. «Мы все знали, что это произойдет».
Подписывайтесь на канал https://t.me/icomap, чтобы ничего не пропустить
Оригинал статьи https://breakermag.com/heres-how-the-2-09-million-eos-hack-really-happened/