EOS爆出百亿美金漏洞,技术大咖告诉你到底发生了什么

近日,360公司Vulcan(伏尔甘)团队宣布发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。而周鸿祎则称此次发现的漏洞价值超过“百亿美金”。

在此次EOS的高危漏洞中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。

由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。

360首席安全工程师郑文彬回应:“5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。”

比原链创始人段新星表示,本次事件是一个利用数组越界漏洞可导致内存溢出的问题,获得超级权限覆盖掉WASM填写新的可执行代码进去,然后进行恶意操作。这种漏洞很常见,并不能成为史诗级的漏洞。BM第一次是加了Assert判定检查,其实也可以包一个安全函数来操作。

比原链首席架构师James指出,EOS想做分布式服务就意味着它会面临相对于比特币更多的问题和挑战。 类似于EOS这种不收gas的机制,以后也许还会遇到很多复杂的问题。相对而言,有些方面比原虚拟机有收gas机制就不会碰到,搞溢出会直接因为内存使用收gas导致虚拟机报错退出。比原链与EOS一样都是做底层公链技术,都是在慢慢摸索前进方向,不断的修正错误,逐步成长起来。

截止事件结束,据EOS官方消息人士称:BM已经修复了这个漏洞。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180530A214IM00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券