Nick Szabo：EOS宪法本身就是安全漏洞

上月底，EOS主网临近上线时被360曝出存在重大漏洞。随后，康奈尔大学教授Emin Gün Sirer批评EOS开发者并未及时寻求共识协议专家的帮助。

尽管EOS主网已经上线，但Sirer和Nick Szabo等加密货币领域专家仍在批判EOS的代码和中心化问题。

Sirer：EOS的问题会越来越严重

5月底，奇虎360技术博客公布了与EOS首席技术官Daniel Larimer的对话，并且公布了一个可能影响EOS超级节点的漏洞：

在解析WASM文件时，我们发现并成功地利用了EOS的缓冲区溢出写入漏洞。

通过这个漏洞，攻击者可以在节点服务器解析合约后，将恶意智能合约上传到节点服务器，节点服务器就会解析这个恶意合约，然后恶意合约就会在服务器上被执行，再控制该节点服务器。

在控制了节点服务器之后，攻击者可以将恶意合约打包到新的块中，并进一步控制EOS网络的所有节点。

该报告还提到，漏洞发现的时间为5月11日，360安全团队于5月28日与EOS团队进行了沟通，EOS团队修复了GitHub上的漏洞，5月29日，360注意到该漏洞并未修复完成。

EOS代码库的漏洞导致这一区块链网络引来了大量的批评声。知名的加密货币研究员以及康奈尔大学教授Sirer说，EOS的情况会“越来越糟”。他强调，EOS推出的找bug奖励计划并不实际，无法发现这一协议概念性和结构性的错误。

EOS的找bug奖励计划只能用于找出简单的代码错误，无法应对有关协议的概念性错误。各位EOS团队的朋友，你们有没有寻求共识协议专家的帮助？你们知道不必自己创造加密货币，那么为什么要制定自己的共识协议？这就像是没有发明手术刀就直接去做脑部手术。

Szabo：EOS宪法就是安全漏洞

主网上线之后，EOS开发者又受到了Szabo的批评。他说EOS的中心化层面导致该项目易受攻击，并且存在安全漏洞。

在EOS系统中，小部分陌生人能够冻结用户资金。基于EOS协议，你必须信任一个‘宪法’组织，其成员很可能是你完全不认识的人。从社会层面来看，EOS‘宪法’不可扩展的，是一个安全漏洞。

Szabo指的是EOS仲裁机构有权没收以及冻结用户账户的行为。就连EOS New York的联合创始人Rick Schlesinger也建议用户仔细研究宪法中与冻结账户有关的条款。

我认为社区应该仔细研究（条款15）。这就是我们存在的原因——试验这项新兴技术，并且了解一个在治理中的区块链如何回应社区的意愿。