慢霧科技發布EOS提案系統(WPS)智能合約安全審計報告_REP

Author：

Time：1900/1/1 0:00:00

近日，慢霧安全團隊受 EOS 超級節點 EOS Nation 邀請，對 EOS 提案系統(WPS) 開源代碼(https://github.com/EOS-Nation/eos-wps)進行了全面的安全審計，包括但不限于溢出審計、條件競爭審計、權限控制審計、設計邏輯審計、安全設計審計、重入攻擊審計等，審計發現 4 處中危漏洞和 7 處低危漏洞，并提出了 3 個安全增強建議。

經雙方團隊溝通，目前問題均已得到修復，各項審計結果均為通過，已無已知風險。完整的審計報告請見下文或查閱慢霧安全團隊 GitHub：

https://github.com/slowmist/Knowledge-Base/blob/master/open-report/EOSIO.WPS_Smart_Contract_Security_Audit_Report_zh.pdf

聲音 | 慢霧科技余弦：Blockchain.info等錢包的安全性不值得相信:巨鯨zhoufujian在被黑客盜走價值2.6億元的加密資產后，慢霧科技創始人余弦表示，有一些錢包的安全性不值得相信，例如IOTA的Trinity錢包、BTC的Electrum錢包、支持BTC/BCH的CoPay錢包、Blockchain.com/.info在線錢包、MyEtherWallet在線錢包等。[2020/2/22]

https://github.com/slowmist/Knowledge-Base/blob/master/open-report/EOSIO.WPS_Smart_Contract_Security_Audit_Report_en.pdf

EOS WPS 簡介

EOS 提案系統(WPS)是 EOS 主網的籌資機制，使開發人員和其他價值創造者可以從 EOS 區塊鏈為 EOS 區塊獎勵之外的項目尋求資金。EOS WPS 系統是基于 DASH 提案系統而來，該系統已成功資助了多個讓 DASH 生態系統受益的項目。同時，EOS WPS 系統還借鑒了 EOS Nation 在設計和維護 BOS 生態系統計劃方面的經驗。EOS Nation 已經對這兩個系統中的真實節點、開發人員和令牌持有者的行為進行了長時間分析，以便為 EOS 主網設計一個改進的版本。

聲音 | 慢霧科技余弦：2019年加密貨幣世界被黑資產價值達44億美金:安全公司慢霧科技聯合創始人余弦在微博上稱，我們的一個有趣統計：加密貨幣世界，已披露的，2019 年之前被黑的資產價值有41億美金，而 2019 年一年就有44億美金，增加了一倍多。如果從被黑項目方個數來看，也是增加了一倍多。2019 對于地下黑客來說是個多瘋狂的一年。[2020/1/7]

這種去中心化的投票&分配機制，由編碼在 EOS WPS 智能合約中的規則進行管理執行，任何 EOS 帳戶都可以為其特定的項目提出預算提案，并由全體代幣持有者選出的節點針對其提案進行投票。提案經投票獲得通過后，提出提案的 EOS 賬戶可以直接從 eosio.wps 賬戶中獲得相應資助資金。

EOS WPS 的意義及重要性

在 EOS WPS 出現之前，EOS 生態中缺乏開發者激勵機制，相比其他公鏈，如以太坊，EOS 社區中優秀的開發者無法通過為社區生態做貢獻而領取社區獎勵，加上 EOS 較為高昂的資源成本和節點維護成本，導致很多優秀的項目開發者離開。

聲音 | 慢霧科技余弦：所有數字貨幣項目方應完整review所有第三方模塊:據IMEOS報道，慢霧科技余弦提醒所有數字貨幣相關項目（如交易所、錢包、DApp 等）都應該強制至少一名核心技術完整 review 一遍所有第三方模塊，看看是否存在可疑代碼，也可以抓包看看是否存在可疑請求。供應鏈攻擊不計代價，數字貨幣依然炙手可熱。

比如最新發現的： Hacker backdoors popular JavaScript library to steal Bitcoin funds 。[2018/11/27]

EOS WPS 的上線，能有效彌補社區激勵機制的缺失，優秀的 EOS 開發者可以通過 EOS WPS 系統申請開發資金，減輕開發過程中的資金壓力，更好的促進 EOS 生態的發展。

慢霧科技公告慢霧科技：Redis挖礦蠕蟲爆發，中國占比總感染是88%:據慢霧科技公告，近期Redis挖礦蠕蟲爆發，目前中國占比總感染是88%。該蠕蟲通過6379端口直接打crontab，成功后先自行關閉Linux的部分安全策略和其他競爭蠕蟲，并清理痕跡，并在內外網進行傳播。其挖礦算法為CryptoNight，支持此類算法的有門羅幣（XMR），字節幣（BCN）等。[2018/5/21]