如何評價360發現區塊鏈史詩級漏洞？問答頭條網

2018-05-30 15:12:12.759000 佚名

超能小蜜

他山之石可以攻玉，今天的這場博眼球非常的到位。首先讓我們熱烈慶祝360正式進軍區塊鏈行業，下面我來一步一步分析一下這精彩的營銷套路。

第一步：360發佈安全公告，引發市場恐慌

2018 年 5 月 29 日，中午 12 點 38 分，360 安全衛士的官方微博發佈消息稱：發行 EOS 主網的一系列高危安全漏洞，其中部分漏洞可以在 EOS 執行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節點。

第二步：借勢EOS和數博會打響名聲

360 作為一家安全公司，發佈安全漏洞消息是在履行安全公司的本職工作。但是 360 對漏洞的描述使用史詩級的詞語，存在誇大事實的情況，如果將 EOS 看作是一家上市公司，對一家上市公司發佈做空消息，是一件違反證券法的行為，其所帶來的價格波動也將影響到所有持幣者。更何況虛擬貨幣市場 24 小時不間斷交易，沒有漲跌上限，這類消息更是可以帶來巨大的市場波動。果不其然EOS瞬間暴跌8％一度衝破10.8強力支撐點。

第三部：站穩腳跟紮根區塊鏈安全領域

360安全團隊一下午時間便在區塊鏈安全領域站穩 360 團隊發佈了漏洞詳情。在 360 安全團隊的英文博客上，記錄著 360 團隊與 EOS BM 的漏洞和修復的全過程。該漏洞並未直接提交 CVE，而是直接提交給了 EOS 團隊，隨後 BM 對該漏洞進行了修復，目前該漏洞已經修復完畢。

區塊鏈晴天閱

除了比特幣、以太坊之外，其他數字貨幣也在層出不窮，EOS就是一種新型的區塊鏈平臺，號稱區塊鏈3.0，目前全球代幣幣值高達690億元。不過EOS今天被爆出一系列史詩級高危漏洞，遠程攻擊可以直接控制和接管EOS上運行的所有節點。

360安全衛士剛剛報道了EOS的漏洞，他們的Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經過驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

由於區塊鏈網絡去中心化的計算特點，一個區塊鏈節點實現上的安全漏洞，可能引發成千上萬的節點遭到攻擊。甚至，在傳統軟件漏洞領域被認為相對危害較小的拒絕服務漏洞，在區塊鏈網絡中則可能引發整個網絡癱瘓的風暴攻擊，對整個數字貨幣系統造成巨大沖擊。

在攻擊中，攻擊者會構造併發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網絡中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等）被遠程控制。由於已經完全控制了節點的系統，攻擊者可以“為所欲為”，如竊取EOS超級節點的密鑰，控制EOS網絡的虛擬貨幣交易；獲取EOS網絡參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。更有甚者，攻擊者可以將EOS網絡中的節點變為殭屍網絡中的一員，發動網絡攻擊或變成免費“礦工”，挖取其他數字貨幣。

29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網絡負責人表示，在修復這些問題之前，不會將EOS網絡正式上線。