各方解读360发布EOS安全报告

蜂巢财经 ☉ 文 来源:蜂巢财经News
2018-06-12 @ 哈希力量文库

文库划重点:攻击者可利用EOS发布智能合约,将恶意代码写进合约中,当超级节点解析合约时,就会触发漏洞被控制,遭控制的超级节点又会将恶意代码打包发送,其他的超级节点又会去验证,一验证又被控制,形成传染般的接连被控。


今日下午1时许,360公司对外通报,他们发现了EOS平台存在一系列高危安全漏洞,部分漏洞可在EOS节点上远程执行任意代码,通过远程攻击,直接控制和接管EOS上运行的所有节点。ZAX哈希力量 | 消除一切智能鸿沟

360用“区块链史诗级漏洞”形容了这一隐患的级别,并称“可完全控制虚拟货币交易”。ZAX哈希力量 | 消除一切智能鸿沟

尽管360强调已在29日凌晨上报EOS官方并协助修复漏洞,但消息发布后,已经处于下跌走势的EOS在一小时内,从11.21美元下探至10.73美元,跌幅4%。ZAX哈希力量 | 消除一切智能鸿沟

今日下午,发现此漏洞的360 Vulcan(伏尔甘)团队在对外的发布会上表示,这部分漏洞存在,危害虽大,但修复起来并不困难,他们看到EOS已经修复了漏洞。后续也还会向官方提交更多发现,对方也向他们表示,在修复这些问题前,EOS主网不会正式上线。

ZAX哈希力量 | 消除一切智能鸿沟

360-298.jpg
ZAX哈希力量 | 消除一切智能鸿沟

区块链业内多方也对360此举给出不同的解读,散户投资者将此视作一次做空消息;而参加EOS超级节点竞选的一些团队认为,在主网上线前,发现漏洞、修补BUG很正常,360的加入让EOS多了安全保障。ZAX哈希力量 | 消除一切智能鸿沟

Vulcan(伏尔甘)团队否认“做空”说法,他们表示,这次的发布仅是互联网安全行业的常规流程,但他们也直言此举为了“体现360在区块链安全领域的价值”。ZAX哈希力量 | 消除一切智能鸿沟

仅一行代码现漏洞但危险系数高ZAX哈希力量 | 消除一切智能鸿沟

在发布漏洞消息2个小时后,今日下午4点,360举行发布会, Vulcan(伏尔甘)团队负责人和360的安全专家对外披露了发现EOS上漏洞的相关细节。ZAX哈希力量 | 消除一切智能鸿沟

360首席安全工程师、伏尔甘团队负责人郑文彬回忆,早在半个月前,他们就发现了EOS上存在的漏洞,花了一周的时间证明这一漏洞确实会被利用。ZAX哈希力量 | 消除一切智能鸿沟

郑文彬描述,漏洞存在于EOS系统中的一行代码中,一旦被触发,会导致维护EOS网络的超级节点接连被控制,进一步造成全节点被控,包括交易所冲提现节点、数字货币钱包服务器节点等等,而全节点被控相当于EOS整个网络被控制,危害的直接结果包括窃取超级节点私钥,控制EOS数字币的交易,获取用户钱包私钥,威胁数字资产安全。ZAX哈希力量 | 消除一切智能鸿沟

360核心安全事业部安全研究员彭峙酿进一步解释了漏洞触发机制,他称,攻击者可利用EOS发布智能合约,将恶意代码写进合约中,当超级节点解析合约时,就会触发漏洞被控制,遭控制的超级节点又会将恶意代码打包发送,其他的超级节点又会去验证,一验证又被控制,形成传染般的接连被控。ZAX哈希力量 | 消除一切智能鸿沟

郑文彬表示,在证明漏洞会被利用后,团队成员于昨日下午记录了代码漏洞的细节详情,连同解决方案形成报告,并联系到EOS的联合创始人Daniel Larimer,向对方提供了该报告。ZAX哈希力量 | 消除一切智能鸿沟

“漏洞就存在于一行代码中,修复起来比较简单。”郑文彬说,他们已经看到漏洞得到了修复。ZAX哈希力量 | 消除一切智能鸿沟

“史诗级漏洞”引各方解读ZAX哈希力量 | 消除一切智能鸿沟

在发布这一报告时,360公司用“史诗级”形容了EOS上的这一漏洞。随着报告的传播,EOS币价下跌,越发引起各方对EOS本身价值的判断,外界猜测360动机的同时,也对他们发布报告的举动进行了不同的解读,造成了一系列的“舆论地震”。ZAX哈希力量 | 消除一切智能鸿沟

暴露漏洞的EOS,被不看好它的大V抨击为“垃圾项目”。陈伟星转发360的发现时,发朋友圈称EOS为区块链毒瘤,是“毫无理想主义的极致炒作圈钱者”,募集资金去向不明、Dpos机制过度中心化、炒作超级节点都成为他“看衰”EOS的论据。ZAX哈希力量 | 消除一切智能鸿沟

而在EOS支持者看来,EOS主网上线前肯定会存在发现漏洞、修补BUG的正常过程。早在今年3、4月份热闹的超级节点竞选期间,多个竞选方在不同的路演现场都表达过对EOS主网上线前安全性、稳定性不足的看法,以及币价波动的可能。ZAX哈希力量 | 消除一切智能鸿沟

360的报告发出后,竞选团队HelloEOS的创始人梓岑就表示,EOS主网尚上线,抓BUG修BUG是日常,“这次有360的高手护航,也给EOS再多一重保障。”ZAX哈希力量 | 消除一切智能鸿沟

EOS项目方也对主网上线前的安全性测试有所举动。ZAX哈希力量 | 消除一切智能鸿沟

今日,在360发布这一报告前,EOS创始人Daniel Larimer也发布推特表示,在EOS1.0版本发布之前,帮助他们发现EOS1.O中关键BUG的贡献者,将获得1万美金的奖励。Daniel Larimer关键BUG的定义为“对于任何可能导致崩溃、特权升级或智能契约中不确定性行为的独特漏洞”。ZAX哈希力量 | 消除一切智能鸿沟

360布局区块链安全的野心ZAX哈希力量 | 消除一切智能鸿沟

对于持有EOS的散户来说,360发布的报告被视作利空消息,更有人认为360在利用报告做空EOS。ZAX哈希力量 | 消除一切智能鸿沟

今日,在发布会上,郑文彬否认了做空的说法,他说,如果做空,在主网上线后操作可能更有效果,“这只是安全行业的常规操作。”ZAX哈希力量 | 消除一切智能鸿沟

业内的区块链安全公司也对360发布报告的举动持有不同看法。一家公司成员以“他们确实挺强”认可了360在区块链安全上的能力,但他也表示,他们昨晚也向EOS官方提交过高危漏洞报告,待官方修复后发布,报告风格会考虑市场。ZAX哈希力量 | 消除一切智能鸿沟

另一家区块链安全公司的创始人认为,“360作为安全公司,可以做的更好。”他认可这一漏洞后果的严重性,但他认为,EOS主网还没有上线,更多应该走提交BUG和修补的流程,急迫地发布报告会带来市场恐慌,“再说外面也没在攻击。”ZAX哈希力量 | 消除一切智能鸿沟

360的报告很快就为他们带来了“益处”,分别有一家项目方和交易所相继发布与360达成战略合作。ZAX哈希力量 | 消除一切智能鸿沟

这不可避免地让外界认为,360借EOS漏洞宣布他们进军区块链安全的布局。ZAX哈希力量 | 消除一切智能鸿沟

此前的5月25日,360曾对外发布过《数字货币钱包安全白皮书》,另一款针对分布式智能安全系统的产品也在5月21日对外发布。ZAX哈希力量 | 消除一切智能鸿沟

对此,今日,360安全团队表示,发布漏洞报告是因为EOS主网即将上线,他们希望能在上线前提示和协助EOS官方,也希望能引发区块链从业者对安全的关注。他们也直言,此举也是希望体现360在区块链安全方面的价值,“事实上我们早就已经在这个行业了。”ZAX哈希力量 | 消除一切智能鸿沟



收录于哈希力量,手机站省略本文固定网址