IOTA针对MIT DCI的官方回应-第二部分

IOTA针对MIT DCI的官方回应-第二部分

 

编者按:
本文中包含的所有信息和链接在本文发表之前都是公开的。本文并不包含新发布或刚泄露出的信息。

文中信息由IOTA基金会和IOTA核心团队的众多成员共同努力搜集。信息汇总的目的是为更好的描述与解释这些复杂并且涉及多方面的问题,以便整个分布式账本技术(DLT)社区自行决定这些信息的相关合理性。


DCI与IOTA之间的历史

2017年9月初,DCI团队发布了IOTA漏洞报告博客文章声称发现了IOTA技术基础方面的各个缺陷,包括IOTA使用的“数字签名”方法(Curl-P哈希函数),网络稳定性和可能的攻击向量(例如双支出,盗窃或伪造签名)。由于DCI庇护于备受推崇的麻省理工学院(MIT)的羽翼之下,不了解内情的公众自然认为DCI是一家令人尊敬的学术机构——尽管它与MIT仅有松散的联系,并且只发表了很少的同行评议的学术著作。从新闻媒体和博客文章中可以明显看出,DCI报告是出自“麻省理工”的,因此,尽管IOTA团队多次试图纠正这些错误,但在DLT社区中,错误信息依然广泛流传了好几个月。

安全是IOTA基金会的首要任务,因此我们非常认真地对待这份报告所发现的问题。我们已经给出并将继续充分考虑调查的准确性和对这些问题的回应。在本报告的情况下,为了回应所提出的问题,IOTA团队自9月以来不知疲倦地工作,并展示了IOTA协议和缠结的安全性。

这是一些例子:

  • Sergey Ivancheglo的电子邮件通讯及DCI报告的跟进(2017年7月- 9月)
  • David Sønstebø 对DCI报告的最初回应(9月7日, 2017)
  • Sergey对Reddit社区成员的回应 (10月, 2017)

本月早些时候,麻省理工学院的Technology Review (麻省理工学院的某个单独的实体,也只是与学校保持松散联系)发表了一篇关于IOTA的积极评论,DCI团队对此回应了另一系列持续关注的问题。这篇新文章重申了许多与他们最初报告相同的担忧,也就是当时IOTA团队已经解决的问题(参见上面的要点链接)。

此外,新的DCI公告质疑IOTA基金会关于企业合作伙伴关系的诚信问题和“免手续费”交易的宣言。但是,这些问题当时也得到了解决:

  • Dominik Schiener 回应了TNW的文章中提出的关于IOTA与微软的关系问题。(December 16, 2017)
  • 在IOTA最初的白皮书中表述到:“...平均来算,IOTA中的nonces数量大约是3⁸,因此,为了找到合适的哈希函数来发布交易,而要求当前状态下全部的nonces都需要做验证,是非常不合理的。“正如我们将在本文的第3部分中讨论的那样,这将说明在任何合理的解释下,交易免手续费都是有效的。

在过去的几个月中,IOTA基金会一直忙于改进我们的技术,以及与世界各大公司建立有意义的合作关系,并成功推出我们的第一个大型协作平台IOTA数据市场。DCI团队在此期间发布的文章虽然影响有限,但也在IOTA社区和更广泛的DLT空间中埋下了引起混乱的种子。

我们对这埋下的祸根负全部责任,因此,我们觉得有必要提出一个正式的,全面的回应,让这些问题得到彻底解决。


与信息披露有关的问题

通常,某方打算负责任地披露正在进行的项目中所发现的漏洞时,应该直接与项目的开发人员联系。在项目封闭期间,不与未参与的第三方讨论这一弱点,以便留下时间来修补这一弱点。这一点对防止不知情当事方的资金损失,十分重要。在项目封闭结束时,再向公众公布缺陷的信息。

然而,在此事件中,IOTA小组在封闭期内与DLT社区的其他成员直接联系时,说他们听说过这种“弱点”。这就引起了IOTA团队对披露过程保密性的关切。考虑到DCI声称的影响,他们要么没有负责任地披露他们的调查结果(据称是“将数十亿美元置于风险之中”),要么他们不认为自己发现的“弱点”构成了任何真正的威胁。正如Sergey Ivancheglo给团队的最后一封邮件中所概述的:

— — — — — — — — — — — — — — —
九月七日

Neha 你好,
我认为如果你的团队解决了Ethan的所有问题,那么就没有什么可以发表的了。对于你来说,仅仅一天的时间不足以让你实现“攻击”,所以让我们在公共场合继续争论吧。
我仍然希望得到一个解释,为什么负责任的信息披露行为会导致许多我们的团队以外的人甚至在更新计划之前就知道细节......
……就个人而言,我无法理解,为什么会有许多非双方组织中的人,其中大多数不是密码学家或安全研究人员,就此问题与我们联系。除非,你从一开始就知道Ethan发现的“漏洞”不是关键性的,或者就是你的信息披露过程并没有尽到真正的负责任态度,

— — — — — — — — — — — — — — —

此邮件没有收到任何回复

 

此外,在学术圈内,对密码漏洞进行独立审计是标准程序,由学术团体进行验证,并发表在学术论文中,以供同行评审。在这种情况下,该漏洞报告将被作为非同行评审的博客文章并在Github上传。尽管宣称是麻省理工学院媒体实验室DCI团队的学术合作,在博客中,DCI团队也承诺将会发布完整的报告和代码。然而,几个月后,在IOTA团队多次请求之后,DCI团队仍然没有公开发布任何漏洞代码。

很不幸,这意味着IOTA团队和任何独立的第三方都无法验证博客文章中所宣称的结果。在发布博客文章的时候,上传至Github的代码仅仅说明了一旦确定了合适的攻击目标,如何展开攻击。然而,它并没有指出,如何确定合适的攻击目标,以实现博客文章中所宣称“实际攻击”,而不仅仅是理论上的攻击。尽管有这些缺点,但媒体对该报告的报道仍然冠以麻省理工学院的名称,因此这篇文章看起来依然具有麻省理工学院学术许可通常授予的全部效力。


对IOTA的协同攻击

现在已经有太多一致性的声音在诋毁我们的项目,虽然许多声音背后可能只是无意误导,但在最坏的情况却是刻意为之,考虑到DLT空间有成百上千项目存在各种可疑的设计决策,甚至犯下彻头彻尾的欺诈行为,那么,我们就不得不问为什么。虽然我们主要关注的是IOTA背后的技术,但最起码我们应该以反对研究的形式做我们的“尽职调查”,否则我们将会疏忽大意。我们提供三种我们认为值得考虑的可能性:

  1. IOTA是独一无二的,没有任何类型的矿工,没有任何手续费。这一事实威胁到那些已经进行了大量资本投资公司的商业模式,例如,矿场不能再通过挖矿而轻松获利。
  2. 许多DLT的项目协议都有特定的用途、实用型的代币。而我们的IOTA目标是真正的分布式的、不受限制的、免费的、接近即时的通用价值和数据传输协议——这已经威胁到目前市场上最成功的一些代币。
  3. 除了一般的颠覆性,IOTA可能会给DLT空间带来一个整体的影响,在上面文章和批评中提到的许多人将会受到IOTA项目成功的影响。

关于MIT DCI有一些明显的利益冲突(COI),可以看链接1链接2

更具体地说,在过去几个月里,DCI的许多人对在IOTA社区发生的争议负有直接责任,因为他们参与了与IOTA相互竞争的技术项目。考虑到DCI在麻省理工学院的庇护下,即使只是在MIT的外围,他们的意见也被赋予了重要的关注度,因此,他们的合作伙伴应该受到同样重要的审查,我们在下面详细列出。

Neha Narula 和 Tadge Dryja

DCI主管Neha Narula正在积极支持比特币发展的闪电网络,这是一种针对快速,廉价的链外交易的提议/实验性的解决方案,以解决比特币链上交易缓慢和昂贵的问题。

《闪电网络白皮书》的作者之一Tadge Dryja最近被DCI雇用。Neha和Tadge似乎在很大程度上参与了一项与IOTA存在竞争的技术项目开发,该技术希望提供快速且近乎免费的交易,而他们同时也是“IOTA的加密漏洞”报告的共同作者。

Madars Virza

Madars Virza, DCI研究员,IOTA漏洞报告的合著者,也是《Zerocash白皮书》的合著者,还是加密货币协议Zcash背后的领导者,Zcash在撰写本文时市值高达15亿美元。Zcash通过零知识证明,声称真正解决了比特币的匿名问题。回想一下Neha的博客文章批评IOTA的说法:

密码系统的黄金法则是“不要创造你自己的密码”。如果问到任何安全研究人员时,他们都会告诉你,在构建系统时,只使用经过充分理解和良好测试的加密原语。

因此,当我们注意到IOTA开发人员已经编写了自己的哈希函数时,这就是一个巨大的危险信号。对于任何与IOTA相关的人来说,这可能都是一个巨大的危险信号。

然而,Zcash也“推出了他们自己的加密算法”,这却在DLT媒体圈子中得到了很好的报道。奇怪的是,这些报道建立在并没有对Zcash的加密技术进行任何调查的基础上,DCI的博客文章也没有对此提出类似的意见,比如,“请不要创建自己的加密算法”,“大型组织或机构都不应该将自己的名声依托在没有经过良好验证的加密算法技术上。”

Ethan Heilman

Ethan Heilman是DCI的伙伴、IOTA漏洞报告的主要作者,也是位于California的一家盈利性公司DAGLabs的领导者,该公司正致力于建立自己的基于DAG协议的《SPECTRE 白皮书》。由于IOTA是目前基于DAG技术的DLT协议的实际领导者,因此人们经常会在这两种协议设计之间进行比较,而且“SPECTRE”也声称能够实现无限的交易可拓展性。在漏洞报告发布的时候,DAGLabs正在进行一系列的融资。非常巧合的是,漏洞报告恰好在对DAGLabs非常有利的时候发布。

IOTA团队已经意识到Ethan在这个领域的专业知识,并于2017年5月亲自联系他,请求他对IOTA的代码进行技术审核。当时他透露他正在进行相关方面的研究,技术审核可能会引起利益冲突。从我们的观点来看,此事引出了一个严肃的问题。如果有潜在的利益冲突,那么他如何能够在成为直接竞争对手的领导层成员后,就很快能客观地评论IOTA的代码呢?

Joichi Ito

麻省理工学院媒体实验室主任Joichi Ito撰写了DCI最近发表的一篇关于IOTA的评论文章。奇怪的是,Joichi的个人利益冲突披露页面在他的文章发表后立即更新(12月20日发布,12月21日,利益冲突披露页面更新。之前 / 之后)。通过使用Wayback机器,我们可以看到,在这次更新中,Joichi删除了两个私有营利性的董事会职位,Helium系统和thinkxtyone, Inc。thinkxtyone看起来并没有什么相关性。然而,根据Helium系统的网站内容,“为我们的竞争对手提供可靠和安全的物联网设备连接。”正如IOTA数据市场博客文章所解释的那样,IOTA的目标是完全取代那些数据被嵌入私有云数据库的商业模式。所以,IOTA的成功至少会对像Helium这样的公司造成影响。

IOTA针对MIT DCI的官方回应-第二部分

Joichi Ito信息披露页之前截图

IOTA针对MIT DCI的官方回应-第二部分

Joichi Ito信息披露页之后的截图

我们不知道这篇关于IOTA的评论文章与Joichi 利益冲突信息披露页面的更新之间是否有任何联系。但就Helium系统而言,在撰写他的评论文章时,他仍然是公司的董事,仍然持有Helium系统的股票和/或期权。

此外,Joichi在这篇评论文章的底部断言:“他没有任何加密货币,也没有持有任何加密货币公司的股权。”值得称赞的是,Joichi 提供了信息披露页面的链接,但页面显示的却是,他仍然持有其所创办的数字车库的股份,这家公司是非常纯粹的“加密货币公司”,而且已经投资了Blockstream,还在2017年11月自我描述为”区块链技术和加密金融领域的领导者。“在撰写本文时,数字车库的市值超过了10亿美元。尽管Joichi声称自己拥有不到0.1%的股份,但这也让他拥有了高达100万美元的资产——足以被人们认定为实质性的投资。

因此,尽管Joichi在他的文章中声称保持客观公正,但上面的证据表明事实并非如此。有人会认为,如果有这么明显的相关联利益,就应该把这些利益的争夺放在相互竞争的技术上,这才是对读者来说最显而易见的,就像麻省理工学院对教员和员工所要求的那样(参见麻省理工学院的政策和程序第4.4节)。


在本系列的下一篇文章中,我们将开始详细讨论DCI报告中提出的每一个要点,并研究更深层次的潜在问题。


本系列文章共有四个部分,以下是相应的链接。
第一部分
第二部分 (本文)
第三部分
第四部分

原文链接:https://blog.iota.org/official-iota-foundation-response-to-the-digital-currency-initiative-at-the-mit-media-lab-part-2-9ce650ad789c
tigermumu

专栏作者:tigermumu

个人简介:坚定不移的贯彻以推广和普及IOTA为核心一百年不动摇

作者邮箱 作者主页 Ta的文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注