麻省理工学院一个工程师团队的最新研究发现，一个名为Voatz的领先区块链投票系统中存在一系列令人震惊的漏洞。在对Voatz的Android应用程序进行反向工程后，研究人员得出结论，一个攻击者如果泄露了一个投票人的**，他几乎可以随意观察、压制和改变投票。该报声称，网络攻击还可能揭示特定用户投票的地点，并可能在投票过程中压制投票。

最令人不安的是，研究人员说，如果攻击者破坏了管理Voatz API的服务器，甚至可能在选票到达时更改选票，这是一个令人担忧的威胁，分布式账本理论上应该防止这种威胁。

研究人员总结说：“鉴于本文讨论的失败的严重性、透明度的缺乏、选民隐私的风险以及攻击的琐碎性质，我们建议放弃近期任何使用该应用程序进行高风险选举的计划。”。

Voatz的基于区块链的投票项目被设计为替代缺席投票，受到了安全研究人员的质疑，但科技界许多人的热情，获得了超过900万美元的风险投资。在Voatz系统下，用户将通过一个应用程序远程投票，通过**的面部识别系统验证身份。

Voatz已经在美国的一些小规模选举中使用，在2018年西弗吉尼亚州大选中获得150多张选票。

沃茨在博客中反驳了麻省理工学院的研究结果，称研究方法“错误”。该公司的主要抱怨是，研究人员测试的是一个过时版本的沃茨客户端软件，没有试图连接到沃茨服务器本身。

博客写道：“这种有缺陷的方法使任何关于他们有能力破坏整个系统的说法无效。”。

在与记者的通话中，Voatz的高管们认为，服务器端保护可以防止受损设备向更广泛的系统进行身份验证。Voatz首席执行官尼米特•萨维尼（Nimit Sawhney）说：“他们所有的说法都是基于这样一种想法，即因为他们能够破坏设备，就能够破坏服务器。”。“这种假设是完全错误的。”

边缘与麻省理工学院的研究人员分享了这一批评，他们没有立即做出回应。

沃茨还强调采取措施，让选民和选举官员事后核实自己的选票。“使用Voatz提交的每一张选票都会产生一张纸质选票，”产品负责人希拉里·布拉塞思说，“使用Voatz的每一位选民在提交后都会收到一张选票收据。”

到目前为止，安全专家们对这些解释并不满意。约翰·霍普金斯大学密码学家马修·格林在推特上说：“这个设备只是把选票发送到服务器上。”。“服务器可能会将它们放在区块链上，但如果设备或服务器受损，这也没有帮助。沃茨需要解释他们是如何处理这个问题的。”

在帖子中，Voatz还指出，它正在进行的bug赏金计划和定期的代码审查是该应用程序强大安全性的证据，但一些研究人员可能并不同意。去年10月，该公司因因联邦调查局（FBI）的一次转介而遭到抨击，有消息称，CNN的这起事件源于密歇根大学的一门选举安全课程。其他人则批评沃茨的赏金计划繁重，对研究人员怀有敌意，这或许可以解释为什么麻省理工学院的研究人员没有参加。

不过，这并不是第一次对Voatz或区块链投票提出安全担忧。去年11月，参议员罗恩·怀登（D-OR）致信五角大楼，对沃茨的安全提出担忧，并要求对该应用程序进行全面审计。这一请求最终被推迟到国土安全部。

针对麻省理工学院的报告，怀登提出了严厉的批评。他在一份声明中说：“网络安全专家已经明确表示，网络投票是不安全的。”。“共和党人结束选举安全禁运，让国会通过整个选举制度的强制性安全标准，早已过去。”