其他

2018-05-30


区块链头条

快讯·交易动态·行业观察

 



今日360官方发布关于发现区块链平台EOS的一系列高危安全漏洞相关事件,360公司Vulcan(伏尔甘)团队表示,发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。


29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。


消息一出,根据火币Pro数据显示,EOS价格跳水,一小时之内下跌6.65%。



奇虎360称发现EOS安全大漏洞,EOS回应已经处理


28日下午1时,360方面完成了利用漏洞控制整个EOS网络的演示;28日晚间10时左右,360联系到了EOS官方反馈此漏洞;29日凌晨得到EOS回复称,不要公开漏洞细节,EOS网络正在修复。29日凌晨2点左右,EOS已经处理。


360技术部门负责人表示:”这件事情本身是一个很严重的问题,但修复起来并不困难,应该不会对主网上线造成重大的影响,因为EOS在此之前一直在不断的修复漏洞。“


据悉,EOS已将此事移交给律师团队处理,官方未承诺过主网上线时间。


对于此次EOS的漏洞事件,我们来看看这些技术大佬们如何看待EOS漏洞事件。


Zilliqa CEO Xinshu Dong:谈EOS漏洞看法


Zilliqa CEO Xinshu Dong,他表示:“360公有链出现安全漏洞大家都很关心,因为区块链本身的不可逆性和多中心化。一旦出现漏洞,中心化的系统可以快速修复,但是多中心化的系统需要投票分叉解决,经常错过最好的修复时机。但这次也是给整个区块链领域一个很好的提醒。区块链安全是多方面的,包括协议层的抗攻击,智能合约语言层的可验证,当然也包括对智能合约运行时的基本的隔离。其实这些都是在安全研究领域众所周知的机制,但是需要区块链项目都把这些都设计好、实现好。面对这样的挑战,大家需要共同努力。”


 NULS联合发起人冉小波:漏洞很正常,开发者需要万分的小心


NULS联合发起人冉小波,对于此次漏洞事件,NULS联合发起人冉小波表示:“EOS有漏洞是很正常的,每一个区块链项目都要经历无数的BUG修复过程,在区块链的世界里,这些都与经济是紧密结合的,因此开发者要万分小心,要对代码进行多次review。EOS在主网上线之前发现漏洞其实是万幸,如果在主网启动之后出现这种情况,可能只能用硬分叉的方式来解决了,而这又可能会造成社区的分裂。”


慢雾科技:此次EOS漏洞是真实存在的并且可信度非常高


慢雾科技表示:“这个漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超级节点服务器的权限,360所描述的史诗级漏洞,这种表述不过分。360没有披露漏洞细节是可以理解的,此次漏洞是在EOS网络上发布的恶意智能合约,该智能合约可以同步到区块链网络上,每个超级节点都会同步。这个恶意的智能合约会导致合约的虚拟机被穿透,打穿虚拟机到服务器,从而控制服务器。EOS 超级节点攻击有几个入口P2P 端口、RPC 端口、恶意智能合约、服务器与集群等其他缺陷、人员安全缺陷。此次漏洞是第三点从智能合约对区块链网络进行的攻击。”


奇虎360首席安全工程师郑文彬:没有做空,没有操作


在今日的360媒体见面会上,针对360公司发布EOS安全漏洞事件,360首席安全工程师郑文彬回应:“5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。”


他还表示:“虽然散户不会运行全节点,但如果EOS漏洞进行攻击,散户可能受到多方面的威胁,丢币也是可能的。”


现场有人提出360借EOS漏洞做空的质疑,奇虎360首席安全工程师郑文彬回应称,“没有做空,没有操作。主节点上线之后再做空可能会更好,所以本着360安全的工作,这是我们的素养,没有做空的想法。”


360安全专家高雪峰:360能够将数字货币异常的交易都感知出来


在今日的360媒体见面会上,360官方人员高雪峰表示,“如何利用安全优势切入区块链领域,区块链不是新的技术而是把很多原有的技术做结合,传统的领域遇到的问题在区块链领域都会遇到,只是EOS关注人数足够多所以会引起重视。从360角度,也就是站在安全守卫者的角度出发,依托于360的安全代码,360把数字货币异常的交易等都能感知出来。漏洞攻击的角度来说,能够发现问题,使用防御手段,就能使得区块链行业中涉及到的智能合约的更安全。这也是360的初衷。”


量子链帅初:这种漏洞在支持虚拟机的合约平台上容易发生


量子链帅初朋友圈回应对EOS漏洞的看法:“1、这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患,任何一个小的共识协议的疏忽,都会有机会DDoS整个区块链网络; 2、面向货币的设计,比特币做的不多不少,刚好合适;3 、ETH和EOS,都不是面向货币的设计,面向区块链平台的设计,复杂度很高,也蕴含更多安全隐患; 4、之前unlimited btc,也是因为一个共识bug,网络就会被ddos瘫痪;5、应该和webassembly新的虚拟机和无gas模型有关,远程代码被vm编译后,被无限执行。”


Oracle Chain CEO 老狼:EOS不会归零


Oracle Chain CEO 老狼回应对EOS漏洞看法,对此,Oracle Chain CEO 老狼表示:“EOS不会归零。360以如此的时机和态度介入EOS的漏洞公布和修复是一个非常中立和客观的安全公司的态度,也能看出360团队是非常专业的白帽子团队。首先漏洞在EOS正式上线前公布,避免了EOS上线后被0day攻击的可能。可以设想,如果这个漏洞被其他的黑客首先发现或者利用,会对整个项目产生不可挽回的破坏。在EOS官方尚未对该漏洞进行恢复前,360并未公布太多该漏洞的细节,也避免了这一漏洞被恶意利用的可能。目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目,正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。”


事件如何进展,区块链头条持续追踪中······


   往期精彩 

 / 区块链头条财富自由与时代焦虑:站在区块链风口上的90后

/ 区块链头条区块链10大真相:饿狼扑食,集体传销,500万人涌入割韭菜



粉丝福利


在文末留言区,发表你对本篇文章的看法

只要本人留言点赞超过20赞,就送8.88个QTG,留言时带上钱包地址


量子金QTG简介(QTG已登陆OEX交易平台)

量子金QTG——它是基于区块链应用衍发的黄金生态系统,以黄金作支持的加密货币,把环保和技术带到金矿。量子金作为以太坊平台上运行的一种加密货币,它的价值是由实体黄金储备和已被挑选的金矿未来生产量来支持的。





    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存