ホワイトハッカーが1週間でEOSの脆弱性を12か所発見｜報奨金約1320万円獲得か

EOSがバグに懸賞金をかけ、脆弱性が12箇所指摘される

Help us find critical bugs in #EOSIO before our 1.0 release. $10K for every unique bug that can cause a crash, privilege escalation, or non-deterministic behavior in smart contracts. Offer subject to change, ID required, validity decided at the sole discretion of Block One.

— Daniel Larimer (@bytemaster7) 2018年5月28日

5/30、EOSはメインネットへの移行を前に、中国のサイバーセキュリティ企業Qihoo360にEOSの致命的なバグを指摘され、すぐさま修正されたようですが、EOSの開発リーダーであるLarimer氏は急遽自身のツイッター上で、今後のため、バグが一つ見つかる毎に1万ドル（約110万円）を贈呈すると公表しました。

CoinPost関連記事

オランダのホワイトハッカーGuido Vranken氏は、6/4にツイッター上で、HackerOneという有名な脆弱性賞金狙いハッカーコミュニティの「EOSバグ発見」レポートにリツイートし、このように述べました。

Thank you. A couple more waiting to be rewarded. I think the final tally was $120K but I lost count. Took me about a week.

— Guido Vranken (@GuidoVranken) 2018年6月4日

現在、12個のバグのうち、8つがすでにEOSの親会社Block.oneに確認され、Vranken氏は8万ドル（約880万円）の賞金をもらったそうです。

How to make $80k in one day: Blockchain bugs. Congrats @GuidoVranken and best of luck on your future bugs! #bugbounty @Hacker0x01 Find bugs on @eos_io and get rewarded on HackerOne! https://t.co/YpsA2LdIA0 #EOS pic.twitter.com/ZHrr6ifoKV

— Jon Bottarini (@jon_bottarini) 2018年6月4日

現時点では、Vranken氏が一週間で見つけ出したバグはまだ公開されていませんが、それが基本的なコード脆弱性だった場合、Block.oneチームの不注意・迂闊さが露呈してしまったことを意味するでしょう。

残りのバグの数はまだ不明ですが、今度はVranken氏のようなホワイトハッカーではなく、悪意のあるハッカーがEOSIOのバグを利用し、大量のトークンを盗み出す可能性も考えられます。

EthereumのHybrid Casperでは、一年もかけてテストと監察を行い、未だ未完成である状態に対し、EOSはそれらの作業をたった一年で終わらせローンチまでたどり着いたというのは、疑いの目を向けられかねません。

また、賞金を上げることも悪意のあるハッカーからの攻撃を防ぐ手段の一つだと思われます。

たった二週間で多くのバグが発見されたことからすると、そもそもBlock.oneがEOSIOをローンチするまでに精査していなかったのでは、とも考えられます。

つまりこれは、Block.oneの信用にも関わってくる問題と言えるでしょう。