麻省理工學院工程師團隊的最新研究發現，在名為Voatz的區塊鏈投票系統中存在一系列令人震驚的漏洞。對Voatz的Android應用程式進行反向工程後，研究人員得出結論稱，透過入侵選民手機，攻擊者幾乎可以隨意觀察、壓制和更改選票。該論文稱，網路攻擊還可能揭示給定使用者在哪裡投票，並可能在此過程中壓制投票。

研究人員說，最令人不安的是，破壞了管理Voatz API的伺服器的攻擊者甚至可以在投票到來時更改選票，這在理論上應該可以防止分散式分類賬的威脅。

Voatz的基於區塊鏈的投票專案旨在替代缺席選票，安全研究人員對此表示懷疑，但許多科技界人士表示了濃厚興趣，其獲得了超過900萬美元的風險投資。在Voatz系統下，使用者將透過應用程式遠端投票，並透過手機的面部識別系統驗證身份。

Voatz已經在美國的一些次要選舉中使用，在2018年西弗吉尼亞選舉中收集了150多張選票。

Voatz 在部落格文章中對MIT的發現提出了質疑，稱該研究方法存在“錯誤”。該公司的主要抱怨是，研究人員正在測試Voatz客戶端軟體的過時版本，並且沒有嘗試連線到Voatz伺服器本身。部落格文章寫道：“這種有缺陷的方法使關於其破壞整個系統能力的任何主張無效。”

Voatz的高管在與記者的電話中辯稱，伺服器端保護將阻止受感染的裝置透過身份驗證進入更廣泛的系統。Voatz執行長Nimit Sawhney說道：“他們的所有主張都基於這樣的想法，因為他們能夠破壞裝置，因此能夠破壞伺服器。而這個假設是完全錯誤的。”

Voatz還強調了允許選民和選舉官員事後核實選票的措施。該公司產品負責人Hilary Braseth說道：“使用Voatz提交的每張選票都會產生紙質選票，使用Voatz的每位選民一旦提交，都會收到一張選票。”

到目前為止，這些解釋並沒有使安全專家印象深刻。約翰·霍普金斯密碼學家Matthew Green在Twitter上指出：“裝置只是將票傳送到伺服器。伺服器可能會將它們放在區塊鏈上，但是如果裝置或伺服器受到威脅，這將無濟於事。Voatz需要解釋他們如何處理這個問題。”

Voatz還在博文中指出了其正在進行的漏洞賞金計劃和定期的程式碼審查，以證明該應用程式具有強大的安全性-但有些研究人員可能不同意。去年10月，該公司因FBI轉介事件而備受抨擊，訊息人士告訴CNN該事件起源於密歇根大學的選舉安全課程。其他人則批評了Voatz的賞金計劃對研究人員來說是繁重且敵對的，這可能解釋了為什麼麻省理工學院的研究人員沒有參加其中。

總體而言，這仍然不是第一次提出有關Voatz或區塊鏈投票的安全問題。11月，參議員Ron Wyden（D-OR）寫信給五角大樓，提出對Voatz安全性的擔憂，並要求對該應用程式進行全面稽核。該請求最終被推遲。Wyden在一份宣告中說道：“網路安全專家已經明確表明，網際網路投票是不安全的。現在距離共和黨人結束選舉安全禁令和讓國會透過整個選舉系統的強制性安全標準已經過去了很長時間。”