五月的尾巴,六月的开头,
一则关于EOS漏洞的消息,轰动了币圈与链圈,甚至还影响了币价走势!
为此,众人议论纷纷:
“有的人,不认同周鸿祎借势营销的做法。毕竟EOS后期的回复是:“在周鸿祎提出这个问题之前,漏洞已经解决了”。火光四射有没有?”
“也有的人,表示欢迎360公司进入区块链安全行业。因为360公司希望通过提交漏洞的方式,督促区块链行业修补系统,排除风险。合情合理有没有?”
不得不承认,大腕级企业之间的踢球战术真的非常高超,不管是即将上线的EOS,还是宣布要进入区块链安全市场的360公司来说,都收获了庞大的流量,备受瞩目,币圈与链圈都为之轰动。
1
漏洞“贵”在什么地方?
虽然360与EOS事件有点扑朔迷离,但是漏洞的的确确存在,相比之下,漏洞更值得重视。
被周鸿祎称为“价值百亿美元”的漏洞,实际上是在解析WASM文件时,攻击者利用了EOS的缓冲区溢出写入漏洞。
通过这个漏洞,攻击者可以在节点服务器解析合约后,再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
如果被攻克成功,对EOS、对消费者都是巨大的损失,被称为“价值百亿美元”的漏洞,其实也不为过。
相信你也很好奇,为什么EOS会出现漏洞?其实,几乎所有互联网技术方案存在的安全问题EOS都存在,EOS智能合约引擎的安全性能不足以预防DDOS攻击;EOS是一个不错的分布式计算,但不是一个好的公链;EOS的21个超级节点竞争违背了区块链(公链)去中心化的核心共识。
2
漏洞是神助攻?
传统软件漏洞一般会导致数据与隐私的泄漏,而数字货币和区块链网络中的安全漏洞会引发的问题更大,比如这次的EOS漏洞,如果被人利用,可以控制EOS网络里面的每一个节点,每一个服务器。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了,对EOS以及消费者都是一大笔的损失。
漏洞不可怕,可怕的是你不懂得如何去预防。
历史上,类似的漏洞事件也有不少,但都被一一攻克了。漏洞问题并不可怕,正是有漏洞的存在,技术人员才能知道软件的风险所在,逐一将漏洞修补,产品不断更新迭代,科技发展才如此神速,那漏洞且不是神助攻?
3
漏洞不得不防!
区块链行业的发展才刚刚开始,但发展速度极快,区块链技术的增长想要跟上区块链发展的脚步,自然少不了跟各种各样的漏洞打交道,才会有质的飞跃。这次 EOS 的漏洞只是刚刚开始,还是站在开源代码的基础上的,作为区块链行业中的一员,我们必须具备这样的意识——学会预防漏洞。
1、完善代码安全审查机制。吸取ERC20漏洞事件和EOSIO的缓冲区溢出事件的教训,通过有效的代码安全审查机制来避免漏洞是最基础的做法。
区块链也是一门技术,开发者做好测试以及代码安全审查是避免漏洞的第一步,也是至关重要的一步。 希望开发者谨记区块链开发的最基本原理——区块链是一个分布式的去中心化系统,代码一旦部署,更新起来就很吃力,需通过硬分叉或者软分叉来对代码进行升级,成本巨高。
比如说THE DAO事件则直接将以太坊分裂成为ETH和ETC,就是对以太坊生态的重大破坏。建议区块链技术公司可以采用比如多人代码审核、内部测评小组、外部专家评测等方法,加强代码的审核与测试。
2、更合理的激励机制。如果你在技术型公司待过,相信你的感触会更深,为了项目加班甚至是通宵,是常有的事,但是回报却不太尽人意。相比之下,因为数字资产的市值的增加,不少白客纷纷“改行”,变身为所谓的黑客,成为攻击黑客的罪魁祸首。
那么,从另一个角度来思考,如果能给技术开发者提供更加丰厚的金钱回报,更好的福利,谁还会想当“黑客”?
切记,对一个技术人员来说,也是希望自己的技术能得到认可与重视,所以除了物质的激励,精神的激励固然也要重视。
历史上发生的比特币挟持事件,大概是黑客希望大众能重视比特币以及区块链技术而引发的吧?
区块链行业的前景很好,从长远方向看来,漏洞只会加快区块链的发展,漏洞并不可怕,可怕的是你对漏洞视而不见。捌妖捌专注于区块链安全网络安全服务,关注智能合约、加密货币交易所、智能钱包存在的安全问题,降低行业风险,打造安全的区块链网络环境。
(完)
文案策划 | 苏格拉浩
设计 | 中本焕
閱讀更多 看今朝科技 的文章
