博眼球的标题党!!!The Next Web并没有真的发现IOTA的漏洞

博眼球的标题党!!!The Next Web并没有真的发现IOTA的漏洞


本文内容较多,如不想看可以直接阅读结论:
简而言之,在加密货币领域中,有些人在完全没有跟踪记录的情况下,故意创建不安全的交易事务,然后,他伪造了自己的不安全交易。The Next Web 利用这种手段构造了一份研究报告以吸引点击量,并且对整个社区造成了巨大的伤害。

 

这可能是一篇关于新闻诚信方面的文章。或者说,越来越多的人喜欢利用夸张的标题,来吸引网络读者日益减少的注意力。

最近,The Next Web的Dimitar Mihov写了一篇关于IOTA中一个假定漏洞的文章,而事实上,这种所谓的漏洞根本不存在。不过,他似乎对这种结果不满意,甚至还在暗示IOTA社区忽略了他的发现。

在我讲技术细节之前,先请牢记以下几个重要事情:

  1. The Next Web 根本没有做任何自己的研究或实情的核查。Dimitar的整篇文章都是基于Joseph Rebstock所发表的另一篇文章。尽管没有关于Joseph在数字分类账技术方面的背景信息,Dimitar却反复提到Joseph是“研究员”。事实上,在他最初的帖子里,Joseph自己指出:“正如你会从github那里所看出来的,我不是一位经验丰富的程序员。我只把自己当做是一名sripter。”(包括拼写错误)。
  2. The Next Web确实联系了IOTA基金会,但却是在发文7分钟后联系的基金会,而且还要求基金会在30分钟内做出回应。这种情况即使在那些主要以高频率的新闻报道赚钱的出版机构都是非常罕见的。
  3. 为了支持新闻稿的最佳发布策略,24小时前,我接触了The Next Web,提出完善他们的文章以使内容符合事实的要求。并且向他们提供了这篇文章的草稿。但是,他们停止了回应。

现在,让我们来回到本文的核心,即Dimitar和Joseph似乎都不理解(或故意误解)的事实。就像在加密货币领域里的大多数事情一样,关键点都藏匿在细节中,如果你没有深入参与,便会难以理解。

与比特币做类比,IOTA使用了一种名为“未花费交易输出”的方案,即UTXO。如果您想要从地址A传输10个IOTA到地址X,那么您需要进账的交易总数(“输入”),至少得是您要发送到地址X(“输出”)的10个IOTA。

在很多情况下,地址中的所有输入金额都比你想花的钱要高,即你钱包里的钱总是比需要的多。因此,交易完成后你必须要处理“零钱”。

这里有一个最重要的因素要理解:由于IOTA的抗量子型的数字签名性质,人们总是必须要完全清空花费金额的地址。

假设你有一个地址(A),余额为100。你想把30个IOTA转给一个朋友(X),官方的IOTA钱包将会这样做:

  1. 从 A 发送30 IOTA 到 X。
  2. 创建新的地址 B 用于存储支付后的零钱。
  3. 将 A 地址中剩余的70 IOTA发送到 B 。

之后,将留下清零的地址A,30 IOTA的地址 X 和 存储剩下金额的地址 B。

IOTA钱包严格执行着这些协议规则,因为交易确实很脆弱,根本不需要任何研究来证明,因为IOTA的发明者是故意这样设计的。

具有讽刺意味的是:IOTA有一个完全安全的交易模型,完全没有漏洞。这种交易模型是由官方钱包来执行的,它本身就是技术堆栈的一部分。然而,Dimitar的报告中却对此只字未提。

那么,TNW的文章中包含的“证据”和截屏又是怎么一回事呢?

这就是使那篇报告变得微妙的地方,或者说,人为操纵的地方。

每次交易总是会清空涉及的所有地址,这是IOTA协议的基本规则之一,并且这是在实施IOTA的解决方案时明确声明的关键技术要求。想想使用网上银行的TLS吧。

违反此规则将使您的资金暴露在攻击者面前。因此,所有IOTA自己的组件都严格执行此规则。如果您按照要求使用IOTA协议,那么TNW所谓的“漏洞”声明将不存在。

然而,考虑到IOTA的开源特性,您可以利用低级库来故意规避这些规则,就像银行决定提供不使用TLS的银行业务一样。当然,并没有银行会这样做,正如同也没有任何IOTA官方客户端会这么做。

很明显,在不遵守IOTA规则的情况下创建的交易事务将使用户的IOTA资金不再安全。它不需要任何研究来证明,就像证明“如果你不用IOTA,IOTA就不会起作用”的逻辑一样。(我这么说可能听起来很可笑,但是我正试图还原Dimitar的逻辑。)

按照The Next Web的基本原理,我可以认为我在HTTP协议中也发现了一个严重的漏洞,因为如果银行不使用TLS,将会使他们的客户处于危险之中。我可以通过网络嗅探器检查一个没有加密的HTTP传输,来“证明”这个严重漏洞,并展示出我可以在纯文本中发现密码。不包含TLS的核心HTTP协议与TNW在文章中所表示的没有人打算“修复这个缺陷”一样。类似的情况我还可以说成,我发现了汽车的缺点,为了证明这一点,我把自己的车开到墙上。

如果故意绕过任何协议的关键部分,就生成一份协议的漏洞证明,那么每一项技术的定义都是不安全的。

银行确保浏览器在HTTP协议上使用TLS,就像IOTA钱包总是从交易的相关地址转移所有的资金一样。

Jospeh使用低级库来创建不遵守IOTA协议的交易事务,从而证明他能够在这些交易事务上找到漏洞。在他提供的所有例子中,没有提供任何一笔在IOTA协议规则下而生成的交易。

这根本不是严肃的研究报告,也根本不是IOTA协议的漏洞。

现在,The Next Web可能会争论,认为这些只是语义上的分歧。对此,我强烈反对。尽管它的名字叫TNW,但它并不是一个深入解析技术并提出结论的输出端。然而,“没有完全正确的事情”和在明显荒谬的前提下使用博眼球的标题诋毁一项技术,上述两种之间情形存在明显的区别!

最后,这篇文章可能是关于新闻诚信的态度思考。

依旧安全,让我们用IOTA来创新!

 

原文链接:https://medium.com/@ralf/semantics-headlines-that-sell-and-why-the-next-web-did-not-find-a-vulnerability-in-iota-ce06af938833

tigermumu

专栏作者:tigermumu

个人简介:坚定不移的贯彻以推广和普及IOTA为核心一百年不动摇

作者邮箱 作者主页 Ta的文章

发表评论

邮箱地址不会被公开。 必填项已用*标注