木星链 木星链
Ctrl+D收藏木星链

EOS:BM 谴责 360 制造恐慌,「史诗级漏洞」还是「史诗级营销」?

作者:

时间:1900/1/1 0:00:00

链闻ChainNews:由于时差原因,360官方发布消息时,EOS技术团队无法及时回复,事件在不确定性当中继续发酵。尽管并未发生实质安全事故,但EOS价格在市场恐慌情绪中持续下跌,全球市场平均跌幅达8%。

5月29日,互联网公司360霸占了所有区块链媒体的头条,不仅成功吸引了用户眼球,市场行情也跟着跌宕起伏了一把。社区认为,这可以看作是360高调宣布入局区块链的里程碑事件。

事件起源于微博账号「360安全卫士」中午发布的一则消息。消息称,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。该漏洞的重要性在于,这是在智能合约虚拟机中发现的新型安全漏洞,360团队称:360发现区块链史诗级漏洞。

不过,EOS开发者BM昨天深夜回复:在360官方发布消息前,该漏洞已被修复。

一个已被修复的漏洞是如何发酵成新闻头条的?

由于时差原因,360官方发布消息时,EOS技术团队无法及时回复,事件在不确定性当中继续发酵。尽管并未发生实质安全事故,但EOS价格在市场恐慌情绪中持续下跌,全球市场平均跌幅达8%。

IBM Cloud佘一夫:IBM可在合规、性能等方面赋能IPFS:金色财经现场报道,4月23日,数御未来——2021数据与存储产业峰会在成都举办。在会议现场,IBM Cloud产品经理佘一夫表示,构建高效、高性能、高性价比的IPFS系统需要全球布局安全合规、高速网络低成本带宽、卓越计算、海量存储高速数据传输。

佘一夫介绍,IBM可在以下几方面赋能IPFS。除了在中国部署IPFS节点外,也可以适当将节点部署在海外,IBM全球云数据中心可确保业务的安全合规,规避不可预测的风险。IBM拥有遍布全球的内网骨干网络,传输免费且不限速。IBM服务器自带免费流量包,极大的降低带宽成本。IBM提供裸金属服务器,安全稳定高性能,且客户可以直接控制硬件,更加安全。IBM提供多样的AMD+GPU机器,AMD可插GPU卡。IBM提供丰富的存储服务。[2021/4/23 20:51:35]

新闻发布几小时后,EOS运营公司Block.oneCEOBrendanBlumer在电报群中做出回应:

尽管我们的开发团队还正在睡觉,Block.one已经在关注所有正在被报道的事情。我们对公众的持续审查表示感谢,这也是开放源码项目能够如此强大的原因所在。让我们来关注于如何构建一个更安全的互联网以及其他建设性的事情之上;我们都感到非常激动。

安永与IBM将合作为客户提供混合云功能,包括IBM Blockchain:金色财经报道,安永与IBM今天宣布建立一个增强的全球多年联盟,专业人员将共同致力于帮助客户实现业务现代化和转型。该联盟将IBM的技术咨询服务与EY的战略和业务咨询功能相结合,将为客户提供专门的混合云功能,包括Red Hat OpenShift以及IBM Watson、企业级区块链服务IBM Blockchain、5G和边缘计算技术。安永和IBM团队将提供额外的联合咨询和系统集成功能,以帮助为客户带来长期价值。[2020/7/18]

而直到新闻发布接近十小时后,BM才在电报群表示,

中国的漏洞新闻是一个FUD,在新闻发布前,漏洞已经全部被修复。制造恐慌传播的bug提交者将会失去获取赏金和认可的资格。

尽管在360发布消息之前,该漏洞已被修复,但360官方发布的稿件中却淡化了这点。在从消息发出,EOS团队无法及时回应的几个小时里,社区对漏洞事实的判断存在极大不确定性,EOS市值从104亿美元缩水至97亿美元。

360是如何发现EOS漏洞的?

下午,360安全团队的YukiChen和ZhiniangPeng在奇虎360技术博客中公布了发现EOS该漏洞并报告给EOS技术团队的过程。节选编译如下:

动态 | DeltaTrak加入IBM Food Trust平台,以提高易腐食品可追溯性:DeltaTrak宣布加入区块链平台IBM Food Trust。通过使用该解决方案,DeltaTrak将与绿叶蔬菜和其他易腐食品的供应商合作,指导他们加入该平台。(BusinessWire)[2019/10/14]

漏洞描述:在解析WASM文件时,我们发现并成功地利用了EOS的缓冲区溢出写入漏洞。通过这个漏洞,攻击者可以在节点服务器解析合约后,将恶意智能合约上传到节点服务器,节点服务器就会解析这个恶意合约,然后恶意合约就会在服务器上被执行,再控制该节点服务器。在控制了节点服务器之后,攻击者可以将恶意合约打包到新的块中,并进一步控制EOS网络的所有节点。

该报告还显示,漏洞发现的时间为5月11日,360安全团队于5月29日与EOS团队进行了沟通,EOS团队修复了GitHub上的漏洞,5月29日,注意到该漏洞并未修复完成。

在报告内附的360安全团队与BM的对话截图中可以得知,在知晓了该漏洞存在后,BM表示不会在漏洞修复完成之前发布EOS主网。同时希望360团队私下将漏洞报告给他,因为有些人正在使用公共测试网络。聊天截图的最后显示,该漏洞已被修复。

动态 | BM 电报群透露 REX 已经基本就绪:据 IMEOS 报道,REX 电报群成员发出在 GitHub 上的 合约链接,其中分支中包含 REX 测试和 bug 修复。BM 表示,REX 已经准备就绪,只要不再需要用借出 token 投票就可以部署。我们正在增加自动续租。成员问到如果借出给 REX 就没有投票权利,BM 回复表示目前正在添加。[2018/9/15]

存在「史诗级漏洞」的EOS有归零风险吗?

360官方团队发布的消息用「史诗级」描述了该漏洞,并称「足以轰瘫整个数字货币体系」,「可完全控制虚拟货币交易」。

该事件引发了社区的热烈讨论。慢雾科技联合创始人余弦谈到,360发现的这个漏洞确实很严重,本质应该就是:恶意合约->合约虚拟机穿透->控制服务器。同时,他还透露了EOS超级节点攻击的几个入口,包括:1.P2P端口;2.RPC端口;3.恶意智能合约;4.服务器与集群等其他缺陷;5.人员安全缺陷。

所谓「史诗级」漏洞的影响到底有多大?随着恐慌情绪在社区发酵,关于EOS归零的言论甚嚣尘上。参与EOS超级节点的欧链科技告诉巴比特,「EOS不会归零,」同时,欧链科技肯定了360公布此漏洞的态度,并认为这是对EOS甚至未来区块链安全的长久利好。

声音 | BM 评价 Vitalik 新共识算法:是对非 BFT 终结性的正式描述:据 IMEOS 报道,Vitalik 近期在其博客上发布了一篇名为《一个99%容错共识的指南》的文章,文章认为这个算法只需要 1% 的节点“诚实”。这意味着,从理论上讲,攻击者需要控制超过99% 的区块链节点才能进行攻击。因此不再有 51% 的攻击。

EOS 社区成员询问 BM 对这个文章的看法以及意见,BM 回复道:这篇文章没有给出譬如什么时候开始实施的时间先,但可以安全地假设一下这个新算法将会在基于 POS 的共识生效后实施......所以相当于在宇宙热寂之后实施......

“不过这个算法是关于 Steem 和 Bitshare 的非 BFT 终结性的正式描述,这就很有趣了。”[2018/8/16]

a)首先漏洞在EOS正式上线前公布,避免了EOS上线后被0day攻击的可能。可以设想,如果这个漏洞被其他的黑客首先发现或者利用,会对整个项目产生不可挽回的破坏。b)在EOS官方尚未对该漏洞进行恢复前,360并未公布太多该漏洞的细节,也避免了这一漏洞被恶意利用的可能。c)目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目,正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。

不过,社区也有部分意见认为,360官方对该漏洞的评价过于严重,不乏有借势炒作之嫌。

比原链创始人段新星发布微博评价:

大致看了下,就是一个利用数组越界漏洞可导致内存溢出,获得超级权限覆盖掉WASM,填写新的可执行代码进去,进行恶意操作。这种漏洞很常见的,怎么就变成史诗级的了。BM第一次是加了Assert判定检查其实也可以包一个安全函数来操作,我觉得这个漏洞倒不难改。

CSDN副总裁孟岩在公开采访时表示,

该事件体现了360安全团队的实力,也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但360的宣布用词夸张,公关渲染痕迹严重,如果能够平实一些,细节多一些会更好。

「史诗级」营销:360是最大赢家?

一片慌乱中,事件的另一方360,已经为自己赚足了眼球。

下午,360公司董事长兼CEO周鸿祎发布微博称,360已经做了EOS超级节点安全解决方案,

360安全大脑发现的区块链漏洞,价值超过「百亿美金」,如果被非法利用,可以远程攻击控制和接管EOS上运行的所有节点,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。360从年初开始,已经在区块链安全方面做了很多研究,已经做了几个区块链安全解决方案,也包括EOS超级节点安全解决方案。

随后,当天下午,多家区块链相关公司相继宣布与360达成合作:

欧链科技将与360合作,利用360安全大脑,共同打造EOS超级节点安全解决方案,合作内容包括360安全大脑向欧链科技提供区块链安全技术,以及提供区块链安全服务等;

EOSLaoMao也宣布与360达成战略合作,共同成立研发团队,在网络安全维护、攻落攻击预面做努力;

币安宣布与360达成安全方面深度合作,360将为币安提供一系列智能合约代码审计服务和长期安全检测服务。

同期,360在北京总部召开了有关EOS此次漏洞的媒体沟通会,分析了漏洞细节,对漏洞攻击进行了现场展示,并表示已经给20多个钱包进行了检测,发现80%的钱包都存在或多或少的漏洞。在此之前,360已经提交了门罗币的漏洞,过几天还会提交以太坊的漏洞。

晚间,据媒体消息,360宣布将依托360安全大脑积累,在物理安全、平台安全、网络安全、系统安全、应用安全和数据安全六方面进行防御部署。

360在短短一个下午完成了披露提供EOS超级节点安全解决方案,组织漏洞分析媒体沟通会,以及公告与多家区块链行业企业达成安全方面的合作。此举被认为是360借势为进军区块链做了一场免费又声势浩大的「史诗级」营销。

区块链安全是一个值得深入探讨并重视的话题。区块链开发过程中存在bug在所难免,项目团队应及时自查,发现修补,投资者也无须过度恐慌。同时,借势营销应当有度,不应以扰乱市场为代价。

不过,360此番借势营销的本质,可以视为传统互联网领域有巨大体量的安全技术公司已经正式介入区块链。尽管半个区块链社区都为EOS揪了一把心,但长远来看,对EOS乃至整个区块链生态建设未尝不是一件好事。

不过眼下,社区更关心的问题可能是,在该事件影响下,EOS主网上线会否推迟?你怎么看?

链闻ChainNews:有谣言买入,有新闻卖出。

原文作者:萌大大链闻编辑:MrRochester版权声明:文章为作者独立观点,不代表链闻ChainNews立场。

来源链接:www.8btc.com

本文来源于非小号媒体平台:

链闻看天下

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3626848.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

EOS爆出百亿美金漏洞,技术大咖告诉你发生了什么

标签:EOS区块链NEWEWSEOS Venezuela区块链专业学什么课程newc币价格EWS Token

狗狗币最新价格热门资讯
BIT:公告中心丨“LTHN交易大赛”活动奖励公示

“LTHN交易大赛”活动奖励公示尊敬的BITKER用户:BITKER举行的“LTHN交易大赛”活动已经于11月23日23:59:59圆满结束,感谢用户的大力支持.

1900/1/1 0:00:00
BOX:【公告】Bibox系统升级完成

尊敬的用户:Bibox现已完成系统升级,并于北京时间2019年5月22日04:35恢复交易;为保证资产安全,提现功能将逐步恢复.

1900/1/1 0:00:00
BTC:币世界24小时行情梳理:BTC于7800美元附近震荡

BTC现于7800美元附近震荡。BTC在币安现报7806.03美元,24小时跌幅1.92%。1.全球数字货币市场总值现报2424.57亿美元,环比下降2.03%;24小时成交量报796.84亿美.

1900/1/1 0:00:00
BBN:上币公告丨BBN上线币客BITKER交易所公告

BBN上线币客BITKER交易所公告敬爱的BITKER用户:BITKER于2018/9/1224:00正式开启BBN/USDT.

1900/1/1 0:00:00
TTE:IEO LANUCHING

尊敬的BITKER用户:YBT将于香港时间2019年4月8日17:00开启YellowBetterToken(YBT)抢购.

1900/1/1 0:00:00
BTO:模式之王BToken:180天不间断销售持续造热 340倍收益你服不服?

写在前面的话:任何事物都有阴阳两极,阳光总是伴随着阴影。行业里面有很多的投机主义者,也不乏价值的坚守者,他们不畏牛熊,不论阳光或阴雨,将赞赏与诽谤一一吞下,一步一个脚印,朝着理想的目标,前进、前.

1900/1/1 0:00:00