60官方團隊發佈消息稱,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
360團隊稱,“29日凌晨,360第一時間將該類漏洞上報EOS官方,並協助其修復安全隱患。EOS網絡負責人表示,在修復這些問題之前,不會將EOS網絡正式上線。”
消息一出,市場應聲大跌,截至發稿,EOS全球市場跌幅超過8%。
據悉,在攻擊中,攻擊者會構造併發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等)被遠程控制。
由於已經完全控制了節點的系統,攻擊者可以“為所欲為”,如竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易;獲取EOS網絡參與節點系統中的其他金融和隱私數據,例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。
更有甚者,攻擊者可以將EOS網絡中的節點變為殭屍網絡中的一員,發動網絡攻擊或變成免費“礦工”,挖取其他數字貨幣。
對於該漏洞,量子鏈創始人帥初這樣解讀,
“1. 這種漏洞在支持虛擬機的合約平臺上容易發生,智能合約無限的靈活性也留下了無限的隱患。 任何一個小的共識協議的疏忽,都會有機會DDos整個區塊鏈網絡。2. 面向貨幣的設計,比特幣做的不多不少,剛好合適。 3. ETH和EOS,都不是面向貨幣的設計,面向區塊鏈平臺的設計,複雜度很高,也蘊含更多安全隱患。4. 之前Unlimited BTC,也是因為一個共識bug,網絡就會被DDos癱瘓。 5. 應該和webassembly新的虛擬機和無gas模型有關,遠程代碼被VM編譯後,被無限執行。6. 目前區塊鏈平臺的貨幣屬性與應用層屬性深度耦合,如何把貨幣層與應用層進行分層處理,打造一個松耦合度的系統是行業的另外一個挑戰。”
此前,BM曾表示,提供有價值的漏洞可以獲得1萬美金報酬,BM團隊將負責評估漏洞價值。
對於今天發佈的漏洞消息,HelloEos 、EOSUnion、EOS CANNON等EOS超級節點競選團隊都表示,主網啟動之前發現更多漏洞並得到修復是一件好事。
EOSBIXIN超級君在朋友圈表示:360找漏洞的朋友已經在萬幣侯群了,別慌,是盟友。
截至發稿,EOS團隊尚未對該漏洞做出正式回應。
主網上線前夕發現重大漏洞,是喜是憂,你怎麼看?閱讀更多 浩談區塊鏈 的文章
