EOS现史诗级漏洞:半个月前就已发现,已有黑客盯上

创业邦|http://www.cyzone.cn 05-30

文 | 棘轮 墨菲

  EOS的创世计划,看来要推迟了。

  就在今天下午,360安全卫士称,发现了EOS的一系列高危安全漏洞,这些漏洞是“区块链史诗级”的,“可完全控制虚拟货币交易”。

  换言之,你拥有的EOS,瞬间就可能被窃取一空。

  黑客小A(化名)对一本区块链表示,他们很早就盯上了这个漏洞,并准备根据这个漏洞,策划一些行动。

  漏洞消息发出时,距EOS主网上线只有4天了。

  舆论哗然。低迷的EOS价格再次下跌,比起4月最高时已跌去近一半。

  因超级节点竞选大热的EOS,这次会遭遇冰火两重天的命运吗?

01 “史诗级漏洞”

  21个超级节点,是EOS共识机制的基石。

  区块链的拥趸认为,攻破PoW需要51%的算力,攻破DPoS需要足够多的节点。

  但对于黑客而言,可能只需要一个致命的漏洞,就可以控制整个网络。

  这一次,EOS就出现了这样的漏洞。

  今天下午1点,360宣布,发现了EOS区块链上的一个史诗级漏洞,部分漏洞可以通过远程攻击,完全控制虚拟货币交易。

  (360演示EOS漏洞)

  这意味着,黑客可以获得至高无上的权力——只要上传一个具有恶意代码的智能合约,就能获得超级节点的控制权。

  而在解析智能合约、打包区块的过程中,其他节点也会被一并感染。最终,所有21个超级节点,甚至所有备用节点,都会被黑客控制。

  “在区块链历史上,我们还没有遇到过如此严重的漏洞。”360核心安全事业部研究院彭峙酿说。

  360首席安全工程师郑文彬则称,早在5月11日,360就已发现EOS存在远程执行代码漏洞。

  昨天下午,360验证了这一漏洞的可操作性。昨天深夜,360将漏洞细节同步到EOS项目方。

  后者很快将这一漏洞进行修复。“仅仅是一行代码的事情。”郑文彬称。

  (EOS开发人员在GitHub上修复了360提交的漏洞)

  但这一行代码,一旦被黑客利用,就能让整个EOS生态,彻底毁灭。

  “目前,这一漏洞仅出现在EOS上。但这并不意味着,其他区块链项目不存在危险。”360安全团队表示。

  在他们看来,如今的区块链安全生态,与1990年代的软件行业颇有相似之处:一些项目团队,完全无暇顾及安全问题。

  “EOS主网将于6月2日上线,现在他们在GitHub上的更新速度极快,很容易忽视安全问题。”一位360安全团队成员说。

  由于区块链技术的特殊性,牵一发往往会动全身。项目方稍有不慎,就会埋下可以毁掉整个网络的暗雷。

  而这种暗雷,已经成为黑客攻击的武器。

  实际上,在黑产中,已经形成一个“情报嗅探组织”,他们专门去扫描各个币和链的漏洞,每天24小时,不停运转。

  一旦发现漏洞,他们就会策划完整的“盗取计划”,狠赚一笔,美图BEC事件就是最好案例。

  黑产对数字货币的关注程度,超出所有人的想象。任何安全隐患,都可能导致币价“一夜归零”。

  而这次EOS的暗雷,竟然是“一系列”。

02 舆论哗然

  360发现EOS“区块链史诗级漏洞”的消息,很快开始蔓延。

  大佬们的回应各有不同。

  李笑来在群里表示,早就知道了这个消息,“360属于白帽子”。

  EOS创始人BM在EOS开发者群发布消息称,将会奖励发现并提交Bug的人,“提供有价值的漏洞会获得1万美金的报酬”。

  这并不是EOS第一次出现技术漏洞。

  5月15日晚,以太坊创始人V神就曾指出,EOS.IO最近更新的DPoS兼拜占庭容错机制无法保证区块的安全。

  随后,BM还在推特上感谢V神,帮助EOS开发团队改善DPoS BFT终版共识机制。

  两个曾经互怼的人,居然上演了如此和谐的一幕。

  此次360文章称,这次发现的是“一系列高危安全漏洞”,可能还会有其他的漏洞消息出现。

  “这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。 任何一个小的共识协议的疏忽,都会有机会DDoS整个区块链网络。”量子链创始人帅初在群里表示,面向区块链平台的设计,复杂度很高,也隐藏着更多安全隐患。

  这意味着,越是灵活的设计,越会存在未知漏洞和隐患。

  对EOS此次被爆出的安全漏洞事件,有人表示理解。

  “Windows面世20多年,至今还进场打补丁。” EOS联盟吴郎在知识星球表示,这反而说明,“EOS得到了主流社区的关注”。

  但也不乏技术层面的质疑之声。

  “为什么项目方发现不了如此巨大的漏洞?”有网友提出,和宣传推广相比,EOS团队似乎对技术没有“真正的关注”。

  还有人对EOS本身的DPoS模式提出质疑。

  此前,三点钟社群发起人玉红就在数博会上表示,“EOS是全球最大的空气币和传销币”。

  “一是21个超级节点,这个设计就是非常传销的,因为你必须身价1个亿才能玩。二是得欺骗我很多粉丝去买。三是很多的中产阶级和老百姓没有参与这个社群,这个很有问题。”玉红如是说,并建议买了的人赶紧清仓。

  陈伟星也表示,EOS堪称区块链毒瘤;毫无理想主义的炒作圈钱者,是区块链共识的最大破坏者。

  还有一个不容忽视的问题是,到目前为止,EOS官方的“宪法”或者“竞选制度”依然未完善,EOS还面临主网映射、分叉的难题。

  这些,都迫在眉睫,却还悬而未决。

03 历史“黑材料”

  实际上,不止EOS,其他区块链项目也曾出现各种“致命”漏洞。

  几天前,教育链EDU、物联网区块链BAI的智能合约,被爆出存在重大漏洞。

  先是EDU被爆出现重大漏洞,黑客不需私钥,就可转走任意账户的 EDU Token。

  而由于合约没有 Pause 设计,无法止损。

  随后,BAI 的智能合约也被发现类似漏洞。

  漏洞爆出时,EDU与BAI已经遭遇黑客洗劫,Token被抛售,币价应声大跌。

  其实,很多所谓漏洞,错误都很低级,完全可以被更正。

  4月BEC(美蜜币)遭遇黑客攻击一事,便被币圈视为一例。

  原因是,BEC连基本的“数据溢出”检查都没有。

  “黑客输入了超过设定的数字,系统直接绕过了余额检查。”某区块链技术专家对一本区块链表示,攻击者可以利用该漏洞批量转账。

  而就是这样一个简单到“实习生都不会犯的漏洞”,导致57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC被转移。

  这个和美图、蔡文胜有千丝万缕关系、曾经暴涨53倍的代币,在瞬间归零。

  而历史上最大的智能合约漏洞事件,发生在2016年的THE DAO身上。

  彼时,中心化自治风投基金“THE DAO”刚在一个月内募得1.5亿美元的以太坊,刷新了众筹纪录,风头无两。

  但很快,THE DAO智能合约设计上的漏洞被黑客利用,三分之一的以太币被盗走。

  此后,以太坊不得不“回滚”,挽回被盗走的币。这也导致了以太坊后来的分叉。

  虽然和其他合约漏洞相比,THE DAO的漏洞算得上“刁钻”,但它依然暴露了智能合约在安全性上的缺陷。

  而这种缺陷,将成为区块链生态中,最不稳定的因素。

  虽然区块链一直叫嚣着要“颠覆”古典互联网,但和古典互联网比起来,很多区块链团队的技术实力,仍然处于幼稚期。

  “代码即法律。”在区块链时代,有人高呼这样的口号。

  但在黑客眼中,这些不成熟的代码,已然构成了一片可随意收割的韭菜田。

  在这里,他们找茬、掘金,从而迅速奔向财富自由。

 

  本文为【一本区块链】原创稿件,未经授权不得转载,否则将追究法律责任。在获得授权转载后,须在文章标题后注明“文章来源:一本区块链(ID:yibenqkl)”。

  • APP
  • 公众号
  • 微博
  • 知乎
中国创业者的信息平台和服务平台,帮助中国创业者实现创业梦想
创业邦公众号,带你随时了解与创业有关的人、事、钱
邦哥自留地,轻松充电,秒知圈内事
创业邦知乎机构号,带你以另一种方式了解世界