EOS现史诗级漏洞 安全专家:更严重的或许还在后面|区块链|EOS|漏洞
360安全团队提交EOS“百亿美元”致命漏洞,足以轰瘫数字体系
来源:IT时报 见习记者 刘慧莹
2018年5月,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS(Enterprise Operation System,商用操作系统)的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
时隔半月,5月29日凌晨,360公司第一时间将该类漏洞上报EOS官方,把该漏洞的技术细节、报告以及演示空间代码都提供给EOS负责人,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
一个恶意节点“感染”21个超级节点
三个月前,EOS还是区块链界的当红新秀,这个通过并行链和DPOS的方式解决了延迟和数据吞吐量难题的区块链底层开发平台,以其每秒百万级的处理量和免手续费的特征备受开发者瞩目,也激发了投资者的嗅觉,甚至有望在比特币和以太坊之上开启“区块链3.0”时代。
气氛在EOS主网原计划上线日期6月2日到来之际逐渐紧张起来。尽管对EOS利好与利空的观点交锋激烈,大佬也纷纷摆明立场,但是真正结束几个月来观点交锋,打破EOS信仰的是此次史诗级漏洞的披露。
尽管在传统软件领域,漏洞的出现屡见不鲜,由此带来的数据和隐私泄露时常影响我们的生活。但在区块链的世界里,数字货币自身携带的金融属性,使得这个领域的漏洞往往给人造成更为直接且严重的损失。
此次EOS漏洞可能造成大范围损失的原理十分简单——利用了EOS是去中心化的分布式区块链系统,而且是通过一行代码就能修复的机制。360首席安全工程师、伏尔甘团队负责人郑文彬表示,黑客只需发布一个具有恶意代码的智能合约到该服务器节点上,在解析智能合约、打包区块的过程中,这个节点会将其他节点一并感染,整个区块链网络里的节点就都可以被恶意攻击者控制,进而对区块链网络进行接管,里面的交易、存储密钥都可以被控制。
“在区块链历史上,我们还没有遇到过如此严重的漏洞。”360核心安全事业部安全研究员彭峙酿评价。不过值得庆幸的是,此次漏洞在EOS上线之前被提交给EOS团队,阻止了早先瞄上该漏洞的黑客大施拳脚,也避免了可能造成的实际破坏。
“后面可能还有更严重的”
据郑文彬表示,这个漏洞其实存在至少有1年时间了,而被伏尔甘团队发现也已经有半个月的时间。彭峙酿告诉《IT时报》记者,最初只是发现漏洞,但是这个漏洞的利用过程非常复杂,所以整个团队用了一周的时间试图在超级节点上执行代码,证明漏洞可以被利用后,团队才赶在主网上线之前把报告递交给EOS团队。
彭峙酿说:“这个漏洞修复起来还是挺简单的——改了一行代码。”漏洞修复后EOS上就能确保足够的安全性吗?如果你认为“是”,就太天真了。此次伏尔甘团队不仅发现了这个漏洞,还有一系列的漏洞准备提交给EOS。而除了EOS上的漏洞,近期团队也曾披露钱包、矿池、智能合约的安全漏洞。
“我们只是先把当前最严重的交给他们,后面可能还有更严重的。”彭峙酿表示。
在区块链的行业里,漏洞的出现并不罕见,甚至有点像上世纪90年代时常有漏洞曝出的Windows系统。2016年历史上最大的智能合约漏洞事件,黑客利用THE DAO 智能合约设计上的漏洞盗走1/3的以太币;4月份BEC遭黑客洗劫,一行代码蒸发65亿人民币;而就在最近几天,发生在教育链EDU上,黑客不需私钥就能任意转走账户里的EDU Token。区块链高频的漏洞曝出令旁观者见怪不怪,当局者如坐针毡。
区块链从业人员素质的良莠不齐是漏洞频发的原因之一。众享比特产品总监陈鸿刚对《IT时报》记者表示,区块链的代码设计需要从业者相当高的专业背景,仅产品设计人员,就需要精通密码学、P2P通信技术、网络安全技术、数据库和公式算法等多方面知识,同时具备将技术与业务结合的能力。[page]分页标题[/page]
区块链高危漏洞频发的另一个原因,则来自整个系统体系的设计。以太坊再大的漏洞影响范围都十分有限,但EOS即使一点误差都可能导致整个系统被黑客控制。尽管“史诗级漏洞”修复过程只耗费了EOS团队一两个小时的时间,但是漏洞的根源其实却跟整个EOS体系的设计相关。彭峙酿告诉记者,你可以提交智能合约到这个节点上,还可以把它推导到其他的节点,“在这个过程中机制难逃干系。”
Windows上的漏洞区块链也有
安全性是区块链投入实际应用应当首要考虑的问题。对此,彭峙酿呼吁区块链网络运营者、开发者加强对安全的投入,尽快提出有效的安全解决方案。他同时表示,传统软件行业所遇到的问题,为区块链领域提供了很多前车之鉴。
此次上报的EOS漏洞,在传统浏览器中是常见问题。这说明区块链虽然是新的体系,但仍会面临过去很多传统软件行业遇到的安全问题。彭峙酿设想,在未来,为保障智能合约的安全性,除了代码审查,区块链系统还会拥有软件安全的缓和措施,就像传统软件、浏览器和操作系统一样,对区块链吸引系统也要专门设置代码审计,形成整体安全解决方案。同时,针对交易的控制、权限的控制也需要制定新的解决方案,让多层防护措施限制漏洞带来的危害。
- 12家科技企业ESG观察,谁领先,谁落后?2023-06-20 06:22
- OpenAI再获百亿融资 估值近300亿美元2023-06-20 06:20
- 大厂战投疑遭重击,中国托拉斯时代终结 | 2022-01-21 17:35
- 仅凭两款单品年GMV达千万,新锐食品品牌怪力食厂从植物蛋白破圈 | 2022-01-21 17:35
- 扩张、亏损、关店,集合店KK的第二次救赎 | 2022-01-21 17:35
- 虚假宣传、诱导付费,陌生人社交App困于“荷尔蒙” | 2022-01-21 17:35
- 2022,AI上市“大年”? | 2022-01-21 17:35
- 小马智行瞄准车规级量产,推出第六代自动驾驶软硬件系统 | 2022-01-21 17:35
- Forrester最新报告:阿里云首次挺进全球容器领导者象限 | 2022-01-21 17:35
- 数策指今纸巾宝获A+轮融资,希投投资领投 | 2022-01-21 17:35
- 19:08预见2025:HTX的全球化蓝图与战略突破
- 18:22惠达卫浴与京东深化合作,开启2025健康卫浴新生活
- 18:08“陆地航母”上线,人类距离打飞的上班还有多久?
- 17:54亚马逊最大规模电动卡车订单落地:豪购超200辆奔驰eActros
- 15:36百利好推出全新交易产品,开拓财富新篇章
- 21:10七座商务车都有哪些?上汽大通 MAXUS G90亮点解析
- 21:05云米电器质量怎么样,云米燃气热水器AI Super2:智享未来,温暖每一
- 20:51CR450动车组样车正式发布,标志着中国高铁技术新突破
- 20:03IP+文旅还能怎么玩?酷乐潮玩全国文旅首店给出了答案
- 18:09周大生大师艺术珠宝以璀璨黄金诠释印象派艺术
- 15:58CES新物种(下):中国原创,世界领先——通用软体机器人技术赋能全球生产
- 10:38CES 2025观察:海信空调的新风,继续吹向AI风口
- 16:22周大生经典在传承中创新,精心打造东方文化精品珠宝
- 15:59智能驱动,豫见未来——“热AI在郑州·百度品牌之夜”圆满落幕
- 15:49驰援西藏,周大生捐款助力日喀则抗震救灾
- 15:21CES 2025 现场直击 | 万勋科技携通用软体机器人惊艳首秀,多元化
- 16:33CES新物种(中):类人肌体,过人能力——通用软体机器人技术,加速机器人
- 15:35百利好解锁投资新机遇,全新交易产品正式上线!
- 19:52周大生国家宝藏系列青花新品匠心传承千古瓷韵
- 14:55CES新物种(上):机器人变软——通用化、可商用的软体机器人亮相CES
- 12:28中国首家鱼子酱体验店 卡露伽鱼子酱旗舰店落户浙江衢州水亭门
- 10:38商聚荷城 合创未来 第二届贵港市荷商大会在城区胜利召开
- 17:23蛇年贺岁启新程,与周大生经典共赴宋韵风华
- 09:56燕京啤酒率先拉开春节营销大幕,官宣国民闺女关晓彤为品牌代言人
- 16:42周大生新年珠宝璀璨亮相,共度2025年的美好时光
- 14:16艾瑞通政务协同办公平台全面适配原生鸿蒙系统
- 20:39宝珀品牌大使黄轩:我的下一块宝珀
- 14:25为双旦增添国风氛围,周大生腕美·国家宝藏系列串珠产品魅力上新
- 10:38第一批广东老字号公布,李锦记荣耀上榜!百年传承实至名归
- 22:30皙之密:开启自然美肌焕变之旅