據(jù)外媒Motherboard 近日報道，去年鬧得轟轟烈烈的加密貨幣 IOTA 漏洞事件再掀波瀾。去年 7 月，DCI 指證IOTA 這一價值高達 50 億美元的加密貨幣所使用的散列算法 curl 存在著嚴重的安全漏洞，然而后者一直不愿正面承認，直至近日，雙方團隊間長達 124 頁的電子郵件內(nèi)容被公開，才將這段持續(xù)數(shù)月的隔空對戰(zhàn)擺到了公眾面前，同時，也引發(fā)了公眾關(guān)于數(shù)字貨幣安全性的深入辯論。

圖片來源：Coincentral

IOTA 是一種基于 DAG 的分布式賬本方案，社區(qū)有人稱之為區(qū)塊鏈 3.0 （相對比特幣和以太坊），其特點是不需要傳統(tǒng)的“挖礦”，而是幫助驗證其他交易來得到獎勵，另外其設(shè)計目標是針對大規(guī)模的物聯(lián)網(wǎng)設(shè)備，以犧牲部分去中心化為代價大幅度地提升了性能。DCI 則是麻省理工學院的學生、開發(fā)者和研究人員組成的一個數(shù)字貨幣計劃團體。

近日，IOTA 去年漏洞事件中的郵件被泄露。據(jù)悉，此次郵件泄露并不是 DCI 或 IOTA 雙方中的任何一方有意而為，更有可能是 DCI 被黑客攻擊導致的郵件泄露。

從泄漏郵件來看，麻省理工學院數(shù)字貨幣計劃附屬的波士頓大學研究員Ethan Heilman 和 MIT 媒體實驗室的密碼研究人員Neha Narula于 2017 年 7 月 15 日向 IOTA 開發(fā)團隊通報表示，其使用的散列算法 curl 存在嚴重的漏洞，包括低成本的散列碰撞以及隨機數(shù)缺陷等。

這些漏洞完全打破了 EU-CMA 標準，IOTA 的開發(fā)者們在一開始也并不愿意承認他們設(shè)計的 curl 有違反密碼工程原則——即嚴禁自己設(shè)計算法。但在 Ethan 和 MIT 媒體實驗室的詳細解釋后，IOTA 最終于 2017 年 8 月 8 日將 curl 替換成了基于 Keccak（SHA-3）的 kerl。

但其后，對密碼研究者團隊公開的報告（當時還沒有公開）十分不滿的IOTA 團隊仍致力于想讓公眾確信 IOTA 的安全性是有保證的。不過密碼研究者團隊仍堅持應該按照事實編寫報告，之后遭到了 IOTA 團隊的人身攻擊——直至2017 年 9 月 8 日，密碼研究團隊將漏洞報告公布在 MIT DCI 的代碼 github 倉庫上。

之后，2018 年 1 月 7 日，關(guān)注事件發(fā)展的用戶應該知曉，IOTA 發(fā)布了 IOTA 針對 MIT DCI 漏洞報告的官方技術(shù)回應（共4篇）。針對此次 MIT DCI 電子郵件的泄露情況，IOTA 隨后也在其官方聲明中表示，這些信息只是相關(guān)方之間的私人往來，其公布并未獲得各方的許可。不過后續(xù)，比較令人玩味的是，DCI 卻沒有對于這兩次事件回應過一個字。

此外據(jù)外媒Coincentral 分析指出，MIT DCI 似乎是受到某個數(shù)字貨幣組織的資金支持的，而 DCI 的 Neha Narula 正在支持比特幣開發(fā)閃電網(wǎng)絡，同時 Ethan 也在構(gòu)建自己的基于 DAG 的協(xié)議，很容易懷疑此番事件又是一次利益間的沖突導致的。因為更有趣的是，DCI 的 IOTA 漏洞報告發(fā)布至今已有半年的時間，期間卻沒有任何人能夠成功的利用 DCI 所謂的漏洞來對 IOTA 發(fā)動攻擊，也沒有任何用戶因為此漏洞而發(fā)生資金被盜的情況。

只能說，仁者見仁了。

來源：CSDN