EOS现史诗级漏洞 安全专家:更严重的或许还在后面|区块链|EOS|漏洞_新浪科技_新浪网
360安全团队提交EOS“百亿美元”致命漏洞,足以轰瘫数字体系
来源:IT时报 见习记者 刘慧莹
2018年5月,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS(Enterprise Operation System,商用操作系统)的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
时隔半月,5月29日凌晨,360公司第一时间将该类漏洞上报EOS官方,把该漏洞的技术细节、报告以及演示空间代码都提供给EOS负责人,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
一个恶意节点“感染”21个超级节点
三个月前,EOS还是区块链界的当红新秀,这个通过并行链和DPOS的方式解决了延迟和数据吞吐量难题的区块链底层开发平台,以其每秒百万级的处理量和免手续费的特征备受开发者瞩目,也激发了投资者的嗅觉,甚至有望在比特币和以太坊之上开启“区块链3.0”时代。
气氛在EOS主网原计划上线日期6月2日到来之际逐渐紧张起来。尽管对EOS利好与利空的观点交锋激烈,大佬也纷纷摆明立场,但是真正结束几个月来观点交锋,打破EOS信仰的是此次史诗级漏洞的披露。
尽管在传统软件领域,漏洞的出现屡见不鲜,由此带来的数据和隐私泄露时常影响我们的生活。但在区块链的世界里,数字货币自身携带的金融属性,使得这个领域的漏洞往往给人造成更为直接且严重的损失。
此次EOS漏洞可能造成大范围损失的原理十分简单——利用了EOS是去中心化的分布式区块链系统,而且是通过一行代码就能修复的机制。360首席安全工程师、伏尔甘团队负责人郑文彬表示,黑客只需发布一个具有恶意代码的智能合约到该服务器节点上,在解析智能合约、打包区块的过程中,这个节点会将其他节点一并感染,整个区块链网络里的节点就都可以被恶意攻击者控制,进而对区块链网络进行接管,里面的交易、存储密钥都可以被控制。
“在区块链历史上,我们还没有遇到过如此严重的漏洞。”360核心安全事业部安全研究员彭峙酿评价。不过值得庆幸的是,此次漏洞在EOS上线之前被提交给EOS团队,阻止了早先瞄上该漏洞的黑客大施拳脚,也避免了可能造成的实际破坏。
“后面可能还有更严重的”
据郑文彬表示,这个漏洞其实存在至少有1年时间了,而被伏尔甘团队发现也已经有半个月的时间。彭峙酿告诉《IT时报》记者,最初只是发现漏洞,但是这个漏洞的利用过程非常复杂,所以整个团队用了一周的时间试图在超级节点上执行代码,证明漏洞可以被利用后,团队才赶在主网上线之前把报告递交给EOS团队。
彭峙酿说:“这个漏洞修复起来还是挺简单的——改了一行代码。”漏洞修复后EOS上就能确保足够的安全性吗?如果你认为“是”,就太天真了。此次伏尔甘团队不仅发现了这个漏洞,还有一系列的漏洞准备提交给EOS。而除了EOS上的漏洞,近期团队也曾披露钱包、矿池、智能合约的安全漏洞。
“我们只是先把当前最严重的交给他们,后面可能还有更严重的。”彭峙酿表示。
在区块链的行业里,漏洞的出现并不罕见,甚至有点像上世纪90年代时常有漏洞曝出的Windows系统。2016年历史上最大的智能合约漏洞事件,黑客利用THE DAO 智能合约设计上的漏洞盗走1/3的以太币;4月份BEC遭黑客洗劫,一行代码蒸发65亿人民币;而就在最近几天,发生在教育链EDU上,黑客不需私钥就能任意转走账户里的EDU Token。区块链高频的漏洞曝出令旁观者见怪不怪,当局者如坐针毡。
区块链从业人员素质的良莠不齐是漏洞频发的原因之一。众享比特产品总监陈鸿刚对《IT时报》记者表示,区块链的代码设计需要从业者相当高的专业背景,仅产品设计人员,就需要精通密码学、P2P通信技术、网络安全技术、数据库和公式算法等多方面知识,同时具备将技术与业务结合的能力。
区块链高危漏洞频发的另一个原因,则来自整个系统体系的设计。以太坊再大的漏洞影响范围都十分有限,但EOS即使一点误差都可能导致整个系统被黑客控制。尽管“史诗级漏洞”修复过程只耗费了EOS团队一两个小时的时间,但是漏洞的根源其实却跟整个EOS体系的设计相关。彭峙酿告诉记者,你可以提交智能合约到这个节点上,还可以把它推导到其他的节点,“在这个过程中机制难逃干系。”
Windows上的漏洞区块链也有
安全性是区块链投入实际应用应当首要考虑的问题。对此,彭峙酿呼吁区块链网络运营者、开发者加强对安全的投入,尽快提出有效的安全解决方案。他同时表示,传统软件行业所遇到的问题,为区块链领域提供了很多前车之鉴。
此次上报的EOS漏洞,在传统浏览器中是常见问题。这说明区块链虽然是新的体系,但仍会面临过去很多传统软件行业遇到的安全问题。彭峙酿设想,在未来,为保障智能合约的安全性,除了代码审查,区块链系统还会拥有软件安全的缓和措施,就像传统软件、浏览器和操作系统一样,对区块链吸引系统也要专门设置代码审计,形成整体安全解决方案。同时,针对交易的控制、权限的控制也需要制定新的解决方案,让多层防护措施限制漏洞带来的危害。
新闻来源
| CryptoCurrency | CNY | Change 1h | Change 24h | Change 7d |
|---|---|---|---|---|
| Bitcoin | 0.58 % | 1.10 % | 12.10 % | |
| Ethereum | 0.74 % | 4.71 % | 7.76 % | |
| Tether | --- | 0.03 % | 0.26 % | |
| USD Coin | 0.19 % | 0.45 % | 0.44 % | |
| BNB | 2.20 % | 3.04 % | 26.90 % | |
| Binance USD | 0.38 % | 0.60 % | 0.69 % | |
| Cardano | 0.42 % | 4.87 % | 0.22 % | |
| XRP | 0.74 % | 0.44 % | 13.05 % | |
| Solana | 1.27 % | 1.81 % | 28.37 % | |
| Polkadot | 0.08 % | 15.21 % | 37.87 % | |
| Dogecoin | 0.07 % | 5.76 % | 12.58 % | |
| Dai | 0.16 % | 0.37 % | 0.52 % | |
| Shiba Inu | 2.36 % | 8.57 % | 35.74 % | |
| TRON | 0.04 % | 0.43 % | 3.05 % | |
| Wrapped Bitcoin | 0.89 % | 1.38 % | 3.42 % | |
| Avalanche | 1.24 % | 9.58 % | 126.95 % | |
| LEO Token | 0.33 % | 1.29 % | 7.54 % | |
| Lido Staked Ether | 3.41 % | 12.96 % | 26.05 % | |
| Litecoin | 1.07 % | 7.23 % | 35.68 % | |
| FTX Token | 3.93 % | 19.20 % | 58.37 % | |
| Chainlink | 0.87 % | 1.57 % | 4.71 % | |
| Polygon | 0.79 % | 0.08 % | 13.45 % | |
| Crypto.com Coin | 0.20 % | 4.39 % | 9.05 % | |
| Stellar | 0.41 % | 6.68 % | 0.28 % | |
| OKB | 1.75 % | 9.87 % | 78.32 % | |
| Near | 0.11 % | 6.96 % | 68.08 % | |
| Algorand | 1.63 % | 5.73 % | 6.03 % | |
| Bitcoin Cash | 0.17 % | 13.74 % | 49.71 % | |
| Ethereum Classic | 0.12 % | 1.75 % | 3.58 % | |
| Monero | 0.15 % | 7.91 % | 5.83 % |