編者按:本文來自36氪戰略合作區塊鏈媒體「Odaily星球日報」(公衆號ID:o-daily,APP下載 )
吸引幣圈諸多目光的EOS主網即將上線之前,註定是不能平靜的幾天。
繼昨日三點鐘創始人玉紅在貴州國家數博會論壇上表示,EOS是最大的空氣幣與傳銷幣之後,今日又被曝發現高危漏洞,本已跌跌不休的EOS此次延續跌勢,一小時之內跌幅達到6%,截止發稿前,已跌破11美元。
今日,360官方微博表示,360公司Vulcan團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
據360官方微博稱,在此次EOS的高危漏洞中,攻擊者會構造併發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等)被遠程控制。
由於已經完全控制了節點的系統,攻擊者可以「爲所欲爲」,如竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易;獲取EOS網絡參與節點系統中的其他金融和隱私數據,例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。
更有甚者,攻擊者可以將EOS網絡中的節點變爲僵屍網絡中的一員,發動網絡攻擊或變成免費「礦工」,挖取其他數字貨幣。
爲此,星球日報就目前該漏洞的相關細節與修復情況,採訪了360安全負責人鄭文彬。
鄭文彬表示,因漏洞嚴重,團隊於29日凌晨第一時間通過telegram直接聯繫BM,將其漏洞攻擊方法及演示視頻以郵件形式報告給了BM,EOS方面或將晚些時候將公佈相關細節或致謝。
針對目前EOS漏洞修復狀況,鄭文彬表示基本問題得到修復,但仍有待觀察。
上週五,360上線區塊鏈安全態勢感知系統,據官方稱,該系統對私自挖礦、異常轉賬、釣魚詐騙、非法交易等進行預警並追蹤溯源,此次報告EOS安全漏洞屬於EOS主網上線之前360安全系統對其的漏洞排查措施。
鄭文彬表示,截至目前,團隊已發現EOS更多系統漏洞,今日報告漏洞僅爲其優先級最高的安全問題,其他漏洞將在EOS主網上線之前陸續與EOS官方聯絡。對於這些漏洞是否會延遲EOS主網上線進度的問題,鄭文彬表示暫不清楚,但BM表明在修復這些問題之前,不會將EOS網絡正式上線。
值得注意的是,此前EOS創始人BM曾表示,提供有價值的漏洞會獲得1萬美金的報酬,BM團隊將負責評估漏洞的價值。
鄭文彬也表示今日發現漏洞並非EOS僅有,目前基本所有的區塊鏈智能合約如以太坊可能都會面臨此類問題,此次報告問題,意在引起區塊鏈業界和安全同行在這類問題的安全性上更多的重視和關注,共同增強區塊鏈網絡的安全。
今日,針對EOS漏洞事件,量子鏈創始人帥初在微信羣裏表示,該漏洞在支持虛擬機的合約平臺上容易發生,智能合約無限的靈活性也留下了無限的隱患。任何一個小的共識協議的疏忽,都會有機會ddos整個區塊鏈網絡。
他表示:「面向貨幣的設計,比特幣做的不多不少,剛好合適。eth和eos,都不是面向貨幣的設計,面向區塊鏈平臺的設計,複雜度很高,也蘊含更多安全隱患。」
(我是Odaily星球日報記者蘆薈,探索真實區塊鏈,爆料、交流請加微信1012387983,煩請備註姓名、單位、職務和事由。)