2018-05-30

昨日下午1时许,360公司对外通报,他们发现了EOS平台存在一系列高危安全漏洞,部分漏洞可在EOS节点上远程执行任意代码,通过远程攻击,直接控制和接管EOS上运行的所有节点。

360用“区块链史诗级漏洞”形容了这一隐患的级别,并称“可完全控制虚拟货币交易”。

尽管360强调已在29日凌晨上报EOS官方并协助修复漏洞,但消息发布后,已经处于下跌走势的EOS在一小时内,从11.21美元下探至10.73美元,跌幅4%。

今日下午,发现此漏洞的360 Vulcan(伏尔甘)团队在对外的发布会上表示,这部分漏洞存在,危害虽大,但修复起来并不困难,他们看到EOS已经修复了漏洞。后续也还会向官方提交更多发现,对方也向他们表示,在修复这些问题前,EOS主网不会正式上线。

区块链业内多方也对360此举给出不同的解读,散户投资者将此视作一次做空消息;而参加EOS超级节点竞选的一些团队认为,在主网上线前,发现漏洞、修补BUG很正常,360的加入让EOS多了安全保障。

Vulcan(伏尔甘)团队否认“做空”说法,他们表示,这次的发布仅是互联网安全行业的常规流程,但他们也直言此举为了“体现360在区块链安全领域的价值”。

仅一行代码现漏洞但危险系数高

在发布漏洞消息2个小时后,今日下午4点,360举行发布会, Vulcan(伏尔甘)团队负责人和360的安全专家对外披露了发现EOS上漏洞的相关细节。

360首席安全工程师、伏尔甘团队负责人郑文彬回忆,早在半个月前,他们就发现了EOS上存在的漏洞,花了一周的时间证明这一漏洞确实会被利用。

郑文彬描述,漏洞存在于EOS系统中的一行代码中,一旦被触发,会导致维护EOS网络的超级节点接连被控制,进一步造成全节点被控,包括交易所冲提现节点、数字货币钱包服务器节点等等,而全节点被控相当于EOS整个网络被控制,危害的直接结果包括窃取超级节点私钥,控制EOS 数字币的交易,获取用户钱包私钥,威胁数字资产安全。

360核心安全事业部安全研究员彭峙酿进一步解释了漏洞触发机制,他称,攻击者可利用EOS发布智能合约,将恶意代码写进合约中,当超级节点解析合约时,就会触发漏洞被控制,遭控制的超级节点又会将恶意代码打包发送,其他的超级节点又会去验证,一验证又被控制,形成传染般的接连被控。

郑文彬表示,在证明漏洞会被利用后,团队成员于昨日下午记录了代码漏洞的细节详情,连同解决方案形成报告,并联系到EOS的联合创始人Daniel Larimer,向对方提供了该报告。

“漏洞就存在于一行代码中,修复起来比较简单。”郑文彬说,他们已经看到漏洞得到了修复。

“史诗级漏洞”引各方解读

在发布这一报告时,360公司用“史诗级”形容了EOS上的这一漏洞。随着报告的传播,EOS币价下跌, 越发引起各方对EOS本身价值的判断,外界猜测360 动机的同时,也对他们发布报告的举动进行了不同的解读,造成了一系列的“舆论地震”。

暴露漏洞的EOS,被不看好它的大V抨击为“垃圾项目”。陈伟星转发360的发现时,发朋友圈称EOS为区块链毒瘤,是“毫无理想主义的极致炒作圈钱者”,募集资金去向不明、Dpos机制过度中心化、炒作超级节点都成为他“看衰”EOS的论据。

而在EOS支持者看来,EOS主网上线前肯定会存在发现漏洞、修补BUG的正常过程。早在今年3、4月份热闹的超级节点竞选期间,多个竞选方在不同的路演现场都表达过对EOS主网上线前安全性、稳定性不足的看法,以及币价波动的可能。

360的报告发出后,竞选团队HelloEOS的创始人梓岑就表示,EOS主网尚上线,抓BUG修BUG是日常,“这次有360的高手护航,也给EOS再多一重保障。”

EOS项目方也对主网上线前的安全性测试有所举动。

今日,在360发布这一报告前,EOS创始人Daniel Larimer也发布推特表示,在EOS1.0版本发布之前,帮助他们发现EOS1.O中关键BUG的贡献者,将获得1万美金的奖励。Daniel Larimer关键BUG的定义为“对于任何可能导致崩溃、特权升级或智能契约中不确定性行为的独特漏洞”。

360布局区块链安全的野心

对于持有EOS的散户来说,360发布的报告被视作利空消息,更有人认为360在利用报告做空EOS。

今日,在发布会上,郑文彬否认了做空的说法,他说,如果做空,在主网上线后操作可能更有效果,“这只是安全行业的常规操作。”

业内的区块链安全公司也对360发布报告的举动持有不同看法。一家公司成员以“他们确实挺强”认可了360在区块链安全上的能力,但他也表示,他们昨晚也向EOS官方提交过高危漏洞报告,待官方修复后发布,报告风格会考虑市场。

另一家区块链安全公司的创始人认为,“360作为安全公司,可以做的更好。”他认可这一漏洞后果的严重性,但他认为,EOS主网还没有上线,更多应该走提交BUG和修补的流程,急迫地发布报告会带来市场恐慌,“再说外面也没在攻击。”

360的报告很快就为他们带来了“益处”,分别有一家项目方和交易所相继发布与360达成战略合作。

事情的关键正如BM定性的那样,此次漏洞事件并非“BUG”而是一个“FUD”即制造恐慌:

1、踩着“恐慌”的时间节点。360选择了EOS主网上线前三天曝光漏洞。如此关键时期,草木皆兵,一个是传统互联网领域的安全巨头,在安全领域的权威性品牌形象,一个是牵扯30亿美元在数字货币市场市值排名第五的热门项目。尽管此前对EOS的质疑声音不少,但360站出来,其威慑力自然不可小觑。据360方面称,其在年初就已经开始区块链安全研究工作,想必该漏洞也不是这一两天才发现的(360已经准备好了解决方案),那为何偏偏选择在主网上线前的关键时刻进行曝光?况且漏洞本身已经被修复,360应该考虑到这会给市场带来的震荡影响。

2、过于密集的媒体负面报道。假使漏洞是昨天刚发现的,360也表示第一时间上报给了EOS团队,但从BUG提交到美国EOS团队回应前,至少需要几个小时的时间差。在此危机真空期,360不曾和EOS团队同步媒体曝光细节并作预警,就大肆展开媒体报道,确实制造了市场盲目恐慌。尽管360不承认有做空行为,但实际产生了一些做空效应。

3、是敌人还是盟友?吊诡的是,漏洞刚爆出不久,(EosLaoMao)等超级节点就开始站队了,表示将和360区块链安全持续保持沟通,深入探讨安全的重要性。OracleChain也宣布与360战略合作,表示双方将共同发布EOS超级节点安全解决方案细节。就在漏洞情况EOS官方明确表态还没给出的情况下,360安全就已经以护航者的姿态渗透进EOS的超级节点生态当中了,这一波操作堪称完美。当然于超级节点而言抱360大腿是为了借势赢得节选,那么360又是为了什么呢?代号“伏尔甘”,很容易让人联想到吃鸡游戏中的“伏地魔”,一直深藏不露,关键时候挺身而出致命一击,最后吃鸡!

恰如,量子链帅初在微信群里表示,该漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽,都会有机会ddos整个区块链网络。

ETH、EOS等智能合约开放平台,近两年取得了野蛮式的快速成长,但作为一个区块链生态公链,未来做DAPP开发影响的会是数以千计的项目。因此平台成长过程中的生态安全问题至关重要。由于智能合约有不可逆、公开访问等特性,时不时有BUG爆出来也正常,需要第三方安全公司参与进来做智能合约审计和纠错。

写在最后:

金庸在《天龙八部》作品中塑造了一个“假传消息”者的形象,他怂恿“带头大哥”造成雁门关灭门惨案,成了终生无法挽回的过错。这个假传消息者大家都知道是慕容复之父慕容博,其与萧峰、萧远山、鸠摩智被金庸小说读者誉为“天龙四绝”。脆弱的智能合约生态初期,需要这样的“绝世高手”,但是拯救武林还是毁灭江湖,高手的节点性意义可想而知。

这两天流行一个段子,“链圈在后方打怪升级,币圈在前方送人头”补充一句,古典互联网的爸爸们,就别制造网络卡顿了。

不过,整体而言,作为第三方安全领域的技术公司,能以更专业、更权威的姿态第一时间曝光安全漏洞,解读漏洞威胁,维护区块链安全生态,这是好事。媒体更应该看到,360布局区块链生态安全给整个行业带来的利好因素,而不是一味的炒作和炮制恐慌情绪。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342

推荐阅读更多精彩内容

  • 这几天币圈经过了360爆EOS重大安全漏洞事件、海南博鳌事件、三点钟创始人玉红攻击EOS事件等多重利空,比特币等主...
    阿里James阅读 283评论 0 0
  • 这让人辗转反侧的,茶饭不思的,疼得撕心裂肺的。亲爱的,这不是爱情,只是咳嗽。
    素锦尺帛阅读 214评论 0 0
  • 她不知, 去年桃花开的时候。 他在树下, 看到让一树桃花, 都失色的她。 她不知, 她的笑, 醉了他的心。 他今年...
    君兮阅读 290评论 10 5