據(jù)外媒Motherboard 近日?qǐng)?bào)道，去年鬧得轟轟烈烈的加密貨幣 IOTA 漏洞事件再掀波瀾。去年 7 月，DCI 指證IOTA 這一價(jià)值高達(dá) 50 億美元的加密貨幣所使用的散列算法 curl 存在著嚴(yán)重的安全漏洞，然而后者一直不愿正面承認(rèn)，直至近日，雙方團(tuán)隊(duì)間長(zhǎng)達(dá) 124 頁(yè)的電子郵件內(nèi)容被公開(kāi)，才將這段持續(xù)數(shù)月的隔空對(duì)戰(zhàn)擺到了公眾面前，同時(shí)，也引發(fā)了公眾關(guān)于數(shù)字貨幣安全性的深入辯論。

圖片來(lái)源：Coincentral

IOTA 是一種基于 DAG 的分布式賬本方案，社區(qū)有人稱之為區(qū)塊鏈 3.0 （相對(duì)比特幣和以太坊），其特點(diǎn)是不需要傳統(tǒng)的“挖礦”，而是幫助驗(yàn)證其他交易來(lái)得到獎(jiǎng)勵(lì)，另外其設(shè)計(jì)目標(biāo)是針對(duì)大規(guī)模的物聯(lián)網(wǎng)設(shè)備，以犧牲部分去中心化為代價(jià)大幅度地提升了性能。DCI 則是麻省理工學(xué)院的學(xué)生、開(kāi)發(fā)者和研究人員組成的一個(gè)數(shù)字貨幣計(jì)劃團(tuán)體。

近日，IOTA 去年漏洞事件中的郵件被泄露。據(jù)悉，此次郵件泄露并不是 DCI 或 IOTA 雙方中的任何一方有意而為，更有可能是 DCI 被黑客攻擊導(dǎo)致的郵件泄露。

從泄漏郵件來(lái)看，麻省理工學(xué)院數(shù)字貨幣計(jì)劃附屬的波士頓大學(xué)研究員Ethan Heilman 和 MIT 媒體實(shí)驗(yàn)室的密碼研究人員Neha Narula于 2017 年 7 月 15 日向 IOTA 開(kāi)發(fā)團(tuán)隊(duì)通報(bào)表示，其使用的散列算法 curl 存在嚴(yán)重的漏洞，包括低成本的散列碰撞以及隨機(jī)數(shù)缺陷等。

這些漏洞完全打破了 EU-CMA 標(biāo)準(zhǔn)，IOTA 的開(kāi)發(fā)者們?cè)谝婚_(kāi)始也并不愿意承認(rèn)他們?cè)O(shè)計(jì)的 curl 有違反密碼工程原則——即嚴(yán)禁自己設(shè)計(jì)算法。但在 Ethan 和 MIT 媒體實(shí)驗(yàn)室的詳細(xì)解釋后，IOTA 最終于 2017 年 8 月 8 日將 curl 替換成了基于 Keccak（SHA-3）的 kerl。

但其后，對(duì)密碼研究者團(tuán)隊(duì)公開(kāi)的報(bào)告（當(dāng)時(shí)還沒(méi)有公開(kāi)）十分不滿的IOTA 團(tuán)隊(duì)仍致力于想讓公眾確信 IOTA 的安全性是有保證的。不過(guò)密碼研究者團(tuán)隊(duì)仍堅(jiān)持應(yīng)該按照事實(shí)編寫報(bào)告，之后遭到了 IOTA 團(tuán)隊(duì)的人身攻擊——直至2017 年 9 月 8 日，密碼研究團(tuán)隊(duì)將漏洞報(bào)告公布在 MIT DCI 的代碼 github 倉(cāng)庫(kù)上。

之后，2018 年 1 月 7 日，關(guān)注事件發(fā)展的用戶應(yīng)該知曉，IOTA 發(fā)布了 IOTA 針對(duì) MIT DCI 漏洞報(bào)告的官方技術(shù)回應(yīng)（共4篇）。針對(duì)此次 MIT DCI 電子郵件的泄露情況，IOTA 隨后也在其官方聲明中表示，這些信息只是相關(guān)方之間的私人往來(lái)，其公布并未獲得各方的許可。不過(guò)后續(xù)，比較令人玩味的是，DCI 卻沒(méi)有對(duì)于這兩次事件回應(yīng)過(guò)一個(gè)字。

此外據(jù)外媒Coincentral 分析指出，MIT DCI 似乎是受到某個(gè)數(shù)字貨幣組織的資金支持的，而 DCI 的 Neha Narula 正在支持比特幣開(kāi)發(fā)閃電網(wǎng)絡(luò)，同時(shí) Ethan 也在構(gòu)建自己的基于 DAG 的協(xié)議，很容易懷疑此番事件又是一次利益間的沖突導(dǎo)致的。因?yàn)楦腥さ氖牵珼CI 的 IOTA 漏洞報(bào)告發(fā)布至今已有半年的時(shí)間，期間卻沒(méi)有任何人能夠成功的利用 DCI 所謂的漏洞來(lái)對(duì) IOTA 發(fā)動(dòng)攻擊，也沒(méi)有任何用戶因?yàn)榇寺┒炊l(fā)生資金被盜的情況。

只能說(shuō)，仁者見(jiàn)仁了。

來(lái)源：CSDN