恶意EOS合约存在吞噬用户RAM的安全风险

EOS,是专门为商用分布式应用而设计的一款高性能区块链操作系统,是一种新的区块链架构,旨在实现分布式应用的高性能扩展。EOS的发布,被誉为区块链3.0时代的到来。

类似于区块链2.0时代的以太坊技术,EOS同样支持部署和运行智能合约。EOS的智能合约虚拟机基于WASM,即Web Assembly,它是谷歌、苹果、微软等众多公司同时支持的一种中间代码(字节码), 用于在浏览器中高效执行原本javascript引擎执行的本地逻辑。常用语言(c/c++等)编写的程序可以编译成wasm字节码,也就是说EOS智能合约兼容所有用c, c++等高级语言编写的程序。同时wasm字节码既可以编译成机器码后执行,又可以使用解释器直接执行, 兼容性和性能兼顾。

在EOS智能合约执行过程中,需要消耗EOS节点的cpu和内存资源,这些资源按照交易发生时的CPU资源和RAM资源价格,支付给EOS节点,从前一段时间被爆炒的RAM价格就可以看到RAM的稀缺性。

漏洞危害

本次发现的漏洞,恰好会导致用户账户内的RAM可能被恶意消耗,引发直接财产损失。

恶意EOS合约存在吞噬用户RAM的安全风险,需要引起各大交易所、钱包、token空投方、DApp、用户等的警惕,避免遭受损失。

披露过程

安全起见,我们已经通知blockone 和慢雾,漏洞细节后续将在「美图区块链实验室」公众号、FreeBuf及其它媒体平台披露。

防御手段

相关项目方在做转账操作时可通过命令行 “cleos get code” 判断目标地址是否为合约地址,避免RAM被恶意吞噬导致损失。

另外在问题未解决之前,可以减少用来转账的账户持有的 RAM 数量,尽可能避免遭受损失。

如发现转账过程中RAM使用异常,可以第一时间联系我们:security@meitu.com。

美图区块链实验室&美图安全应急响应中心联合声明

*本文作者:美图应急响应中心,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏友弟技术工作室

工欲善其事,必先利其器之------Ubuntu工具类正文

背景: 1.自己接触linux,也有3年了,从大三开始.最早是redhet桌面版.然后linux的字符界面.上家公司的职位是运维开发工程师,一直操作的都是lin...

4039
来自专栏应用案例

一次支付系统升级过程经验教训分享

一、主题分享 大家好!我今天讲的不是什么高深的技术或者产品设计,只是前一段时间发生的真实的上线过程。大家就权当我讲一个故事。里面涉及的技术也比较简单,请大家可以...

2148
来自专栏维恩的派VNPIE

优化的tick级别精准回测引擎,支持双合约回测

vn.py框架更加适合做CTA类的策略,而不是高频策略。moonnejs在「维恩的派」论坛里分享了自己如何对vn.py回测引擎进行改进,使其适合于高频交易。感谢...

1773
来自专栏MixLab科技+设计实验室

万维网之父开源了去中心化平台,让用户掌控自己的社交数据,分布式社交协议栈Solid和内容分发网络IPFS

本文将介绍 solid 协议栈涉及到的各种概念,以及我们能如何用以太坊、IPFS 等新的分布式应用基础设施来实现 solid 应用,光复去中心化的民主互联网。

3522
来自专栏张善友的专栏

OpenPetra 以及CentOS Mono 3.0 部署包

OpenPetra,是一款为非盈利及其他慈善组织提供的管理软件。该软件具有很好的灵活性和可定制化,可以帮助志愿者和非盈利机构进行任务管理。OpenPetra目...

1768
来自专栏Java学习123

iPhone丢失了怎么办 找回iPhone终极教程

3307
来自专栏企鹅号快讯

微信跳一跳技术手段高分秘籍:不仅可以用 Python 刷分,竟然还可以直接改分

如果你每次都能挑到各自的正中间的话,可以 + 2 分,如果连着跳到中间会 + 4、+6、+8、+10…… 跳到污水井盖上面,停留 2 秒,等到下水道声音响起直接...

22310
来自专栏刺客博客

谈谈云免原理

6.2K2
来自专栏腾讯位置服务

SDK | 常见问题

SDK 1.腾讯定位SDK是否没使用过JSpatch? 腾讯iOS定位SDK没有使用JSPatch,也没有集成Bugly,腾讯位置服务 iOS 提供的所有 S...

1403
来自专栏EOS

EOSpark.com推出EOS合约源代码验证功能

最近FOMO3D非常火爆,有团队就把这个以太坊上的游戏移植到了EOS上,然而最近该游戏暴出漏洞,被个别玩家利用溢出攻击获取了6w多个EOS,详情见这里

1524

扫码关注云+社区

领取腾讯云代金券