关于MIT DCI电子邮件泄露情况的官方声明。

关于MIT DCI电子邮件泄露情况的官方声明。

(注:本帖内容仅针对在2017年8月-9月公布的安全信息。在撰写本文时,目前的协议并未发现已知问题。)

如果你一直在关注与IOTA相关的新闻,你可能会发现在IOTA社区以及更广泛的DLT社区中的一项正在讨论的话题。今年1月,IOTA基金会发布了一篇分为四部分的博文,详细介绍了由挂靠着麻省理工学院(MIT)的数字货币倡议组织(DCI)于2017年9月在GitHub上发布的漏洞报告的技术考虑。

不幸的是,在撰写本篇报道之前,IOTA团队和DCI之间的通信记录被泄露,并发布在一个外部博客上,这让所有人都感到惊讶。IOTA基金会坚决谴责这次的泄密行为。这些信息都是相关方之间的私人往来,并且各方方并不同意公开,在未得到各方许可前公布这样的邮件,对IOTA基金会是不利的,也伤害了我们的社区以及DCI中与我们持续沟通的朋友们(这是一个非常火热的话题,但同时也是充满活力的学术讨论的性质),甚至于整个DLT领域。


事件概要

尽管如此,我们依旧认为分享对于此事件的观点是合适的(不存在所有的技术开销)。首先,总结一下邮件中明显的概要,以及我们今天所处的情形:

  • 从第一天开始,IOTA团队就迅速而礼貌地响应了DCI所要求的技术细节。IOTA甚至提出赏金奖励DCI团队的辛勤工作和奉献精神,而DCI从来没有对此回应过。
  • 我们继续保持联系,正如在博客之前文章中详细讨论的那样,该报告中描述的漏洞从来没有让用户的资金容易受到盗窃或攻击。
  • DCI发现的只是IOTA协议属性中被设计为防盗版保护的机制,DCI并没有发现IOTA协议中的任何实际意义上的漏洞。
  • 然而,出于最大程度上的谨慎考虑,我们遵循了DCI团队的建议,并在2017年8月按照他们的要求完成变更。
  • 到目前为止,IOTA团队还没有收到任何问题的答案,例如:代码演示攻击,或者其他详细描述了这些邮件中所看到漏洞的文档。
  • 我们将非常感谢帮助发现IOTA协议中所存在实际漏洞的人们,并且自2017年11月起,我们就一直在与一个密码学团队合作,以获得对这种情况最准确和客观的评估结果。

详细的时间线

事件的详细时间线如下。电子邮件是根据发布在The Tangler 上的文件编号的。由于两个团队都在讨论此情况,所以其中没有提到的大多数电子邮件都是一些技术上的重复内容:

  • # 1(7/15)- DCI的Ethan Heilman 接触IOTA团队:(1)漏洞通知和并打算等待两周后,按照责任信息披露程序发布漏洞报告。(2)漏洞和攻击向量的描述。(3)改善IOTA协议来避免这些漏洞的建议。
  • #2 (7/15) — Sergey Ivancheglo (IOTA核心开发者,又名,Come-from-Beyond)写了一篇回复,感谢Ethan遵循负责任的信息披露程序,以及他对理解和帮助改进IOTA协议的兴趣。Sergey的回应包括一系列的回答和更多的问题,并表达了IOTA团队评估这些漏洞并及时处理这些问题的意图。
  • #11 (7/22) — Ethan宣布了攻击的进展,并申明将在一周内发布。
  • #12 (7/23) — David Sønstebø (IOTA的联合创始人)请求暂缓发布,直到双方对漏洞和应对过程都达到共识。
  • #13 (7/23) — Sergey要求澄清他在前一周提出的问题,但仍未得到答复。
  • #16 (7/25) — Ethan强调最初议定的两周的时间框架,并要求声明应对漏洞将采取的措施。
  • #17 (7/25) — Sergey通知Ethan关于IOTA打算实施的时间节点:(1) 在8月5日通过升级来修补漏洞;(2)留给用户5天时间,即在8月10号之前转移代币到新地址;(3) 在8月12日声明漏洞报告的细节。
  • #22 (7/28) — Neha确认DCI可以接受这个时间线,他们将延后发布时间至8月12日。
  • #30 (7/31) — Sergey 回复了一长串的技术邮件,其中有20个未解决的问题,并要求DCI澄清这些问题。
  • #31 (8/4) — David重申了Sergey之前关于在DCI正式发文之前20个未解决的问题要求,这样IOTA团队就有时间准备一个适当和详细的技术响应。
  • #52 (8/7) — David分享了IOTA团队关于升级的博客文章
  • #73 (9/6) — Neha通知IOTA团队,他们的文章已经准备好发表,包括文本的副本,并要求IOTA给出反馈或更正。
  • #74 (9/6) — Sergey针对文本的第一部分列出了回应清单
  • #75 (9/6) — 在不提供任何其他解决方案的情况下,摒弃了几乎所有的修正措施。
  • #76 (9/7) — David 通过一名CoinDesk记者了解到DCI正在推进出版,并要求Ethan撤回报道,直到所有提出的问题都能得到解决。David承认,他怀疑DCI的团队受到利益影响(由于正在发生的技术性竞争)。
  • #81 (9/7) — Neha告知IOTA团队,DCI打算在第二天发布报告,并最后一次请求IOTA团队对此做出更多评论。
  • #82 (9/7) — Sergey 注意到他以前发出的一些意见被忽略了,如果这些意见被列入报告之中,就不会有任何值得出版的东西。他还发现一种现象,那就是在出版之前发现许多第三方也得知此漏洞,并且在IOTA团队采取进一步措施解决剩下的问题之前,就已经在公开讨论这一问题。
  • #83 (10/21) —在最后的通信中,为了保持透明度,Sergey告知Ethan,他打算在法律顾问的帮助下,通过与波士顿大学的联系,迫使其发布合适的披露文件。(注意。Sergey 生活在白俄罗斯,他的英语口语不是很好,英语是他的第三种语言,他发现在没有法律帮助的情况下,自己无法在这个任务上取得进展。)

负责任的披露?

虽然最开始,DCI团队充满善意,并且允许超出最初商定的披露时间,但它仍然应该受到谴责:

  • 在没有通知IOTA的情况下,告知多个第三方漏洞报告的细节,包括记者与IOTA的竞争者。
  • 在没有解决问题或甚至连IOTA团队提出的任何问题都没有回答的情况下继续出版;
  • 至今未发布任何代码或文件来证实他们的声明。

无论是有意还是无意,DCI的报告以及随后做出拒绝遵循适当披露程序的行为,都导致关于IOTA的错误信息不断发酵的后果。最近一轮在Twitter上发起的攻击企图破坏我们最近宣布的公司关系,我们发现这些攻击也同样受到了谴责。我们推测只有某种不可告人的原因才导致DCI违反重要的信息披露协议。


下一步

为了这个令人作呕的问题,我们已经花费了比预计更多的时间来处理。我们实在不想再浪费时间在此问题上。但是,如果没有DCI团队的帮助,我们无法做到这一点。为此,我们提出以下建议:

  • 我们特此正式请求DCI兑现适当的披露协议:我们呼吁Ethan、Neha及其团队发布任何代码、文档、研究过程等等,并与他们一起研发他们发现的问题。
  • 如果DCI不能或不愿公开上述所有文件,我们要求他们彻底收回报告,并发表简短的道歉,之后我们将不计前嫌的完全忘记这回事。
  • 如果DCI能够充分的澄清和披露他们的结果,并且发现了一个实质性的漏洞,我们将会非常高兴,并且承认我们的错误以及为此道歉。我们还将感谢他们帮助我们改进了IOTA协议,并重申我们会为此提出赏金奖励以表达我们的感激之情。

我们仍然100%致力于建设我们的社区透明度,并且我们会继续欢迎DCI团队以一种深思熟虑和建设性的态度讨论这些问题。尽管在社交媒体中,十个帖子有九个都经过了深思熟虑,然而唯独剩下的那一个最粗鄙的帖子却总能广泛流传。为了整个DLT领域的清明,我们希望这些分歧不要消失在互联网上的意气之争中,而是能够在更加有思想深度的讨论形式中流传下去。

 

原文链接:https://blog.iota.org/official-statement-regarding-the-mit-dci-email-leaks-ea3cacd6699a

tigermumu

专栏作者:tigermumu

个人简介:坚定不移的贯彻以推广和普及IOTA为核心一百年不动摇

作者邮箱 作者主页 Ta的文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注