近日,360公司Vulcan团队宣布发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。而周鸿祎则称此次发现的漏洞价值超过「百亿美金」。
在此次EOS的高危漏洞中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点被远程控制。
动态 | EOS系统合约 v1.7.0已获得超10个节点批准:EOS Laomao官方今日发推称,EOS系统合约 v1.7.0已获得超过10个节点批准。同时,EOS Laomao表示希望其他节点尽快审查相关提案,将系统合约 v1.7.0部署在EOS主网上。[2019/10/3]
由于已经完全控制了节点的系统,攻击者可以「为所欲为」,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
声音 | BM:未利用资金购买EOS的原因是B1不能拥有超过10%的份额:据MEET.ONE消息,电报群中对B1回购的讨论仍在继续,BB和BM在群中回应社区疑问。 1. 社区提问:难道B1不应该将筹集来的40亿美金用于资助DApp的开发吗? BM:我们按照承诺在EOS VC(用于资助优秀的EOS DApp)投资了10亿美元,除此之外,我们也投资了一些基于区块链的社交媒体。 2. 社区提问:为什么不拿这些资金去买EOS? BM:因为我们不能拥有超过10%的份额,而且我们希望EOS保持去中心化; 3. 社区提问:那为什么要持有14万比特币呢? BM:难道需要把所有的钱都存在银行吗? BB:我们已经最大限度地利用了我们的EOS风险敞口(指实际所承担的风险),我们将非EOS资产存放在加密货币和法币的投资组合中; 最后,BB和BM都表示他们仍对B1 June保持兴奋,但希望社区不要过度炒作,引起不切实际的期望。BM仍坚称B1 June会发布自EOSIO发布以来最大的消息,6月之前还会发布很多新的代码,感谢社区所有成员的支持,大家的努力将让一切成为可能。[2019/5/22]
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费「矿工」,挖取其他数字货币。
EOS主网启动团队发布联合声明:安全性是首要考虑的任务:EOS主网启动团队发布联合声明,当前进入了安全测试阶段, 为了更好地进行测试,目前同时存在两条测试网络用于安全测试,但最后只有一个名叫EOS的主网上线。
现阶段,建立了主网的github代码库;检验确认了快照里的163,936份账号的EOS数额的正确;确认了有效的系统账户和合约;产生了两条候选主链。
安全性是EOS主网启动团队的首要任务。一支知名且广受赞誉的专业安全团队会联合EOS主网安全启动团队,旨在实现备选出块节点层次的安全实践能够实现标准化。
目前已经建立了一条供安全测试用的网络,供有意参与的候选节点对自己的架构进行严苛的安全测试。这一测试网络在启动后会持续存在,以提供持续的安全支持。这一网络是社区的共同资产。
请全体持币人注意,务必保护好私钥安全,在得到多个可信节点发布联合通告声明主网启动之前,不要进行操作。在未来四十八小时之内,EOS主网启动团队发布一则新的声明书来阐述届时最新的启动进展情况。
(注:EOS主网启动团队由EOS Core团队(此前的Ghostbusters团队)、BIOS BOOT Channel团队、中国安全启动团队构成,全球至少有90个节点候选者加入其中。)[2018/6/6]
360首席安全工程师郑文彬回应:
5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。
比原链创始人段新星表示,本次事件是一个利用数组越界漏洞可导致内存溢出的问题,获得超级权限覆盖掉WASM填写新的可执行代码进去,然后进行恶意操作。这种漏洞很常见,并不能成为史诗级的漏洞。BM第一次是加了Assert判定检查,其实也可以包一个安全函数来操作。
比原链首席架构师James指出,EOS想做分布式服务就意味着它会面临相对于比特币更多的问题和挑战。类似于EOS这种不收gas的机制,以后也许还会遇到很多复杂的问题。相对而言,有些方面比原虚拟机有收gas机制就不会碰到,搞溢出会直接因为内存使用收gas导致虚拟机报错退出。比原链与EOS一样都是做底层公链技术,都是在慢慢摸索前进方向,不断的修正错误,逐步成长起来。
截止事件结束,据EOS官方消息人士称:BM已经修复了这个漏洞。
链闻ChainNews:提供每日不可或缺的区块链新闻。
原文作者:比原链链闻编译:YY版权声明:文章为作者独立观点,不代表链闻ChainNews立场。
来源链接:www.8btc.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626841.html
EOS柚子漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
BM谴责360制造恐慌,「史诗级漏洞」还是「史诗级营销」?
下一篇:
360高调进军区块链,「史诗级漏洞」还是「史诗级营销」?
火星财经APP一线报道,纽约证券交易所Arca已正式向证券交易委员会申请更改规则,允许其上市拟议中的比特币投资信托.
1900/1/1 0:00:00来源:区块链铅笔作者:MarieHuillet编译者:Penn美国证券交易委员会和商品期货交易委员会已联合发布警告,警告投资者不要使用相关欺诈性网站.
1900/1/1 0:00:00币客BITKER趣味答题活动公告敬爱的BITKER用户:BITKER将于北京时间8月10日中午12点开启币客BITKER趣味答题活动1活动时间:8月10日12:00-8月15日12:002参加条.
1900/1/1 0:00:00法国央行希望保证银行与其他金融机构远离加密货币业务。在三月初发布的一份报告中,法国银行建议禁止保险公司、银行与信托公司“参与加密资产活动的存款与贷款业务.
1900/1/1 0:00:00据TokenGazer数据显示,截止至5月22日11时,期货方面,目前目前Bitfinex和BitMEX总多单量统计数据为$142.8M,总空单量数据为$43.6M.
1900/1/1 0:00:00敬爱的BITKER用户:BITKER将于2018年12月24日10:00a.m.正式开启DICE/BTC、DICE/ETH、DICE/USDT交易对.
1900/1/1 0:00:00