昨日下午1時許,360公司對外通報,他們發現了EOS平臺存在一系列高危安全漏洞,部分漏洞可在EOS節點上遠端執行任意程式碼,透過遠端攻擊,直接控制和接管EOS上執行的所有節點。
360用“區塊鏈史詩級漏洞”形容了這一隱患的級別,並稱“可完全控制虛擬貨幣交易”。
儘管360強調已在29日凌晨上報EOS官方並協助修復漏洞,但訊息釋出後,已經處於下跌走勢的EOS在一小時內,從11.21美元下探至10.73美元,跌幅4%。
今日下午,發現此漏洞的360 Vulcan(伏爾甘)團隊在對外的釋出會上表示,這部分漏洞存在,危害雖大,但修復起來並不困難,他們看到EOS已經修復了漏洞。後續也還會向官方提交更多發現,對方也向他們表示,在修復這些問題前,EOS主網不會正式上線。
區塊鏈業內多方也對360此舉給出不同的解讀,散戶投資者將此視作一次做空訊息;而參加EOS超級節點競選的一些團隊認為,在主網上線前,發現漏洞、修補BUG很正常,360的加入讓EOS多了安全保障。
Vulcan(伏爾甘)團隊否認“做空”說法,他們表示,這次的釋出僅是網際網路安全行業的常規流程,但他們也直言此舉為了“體現360在區塊鏈安全領域的價值”。
僅一行程式碼現漏洞但危險係數高
在釋出漏洞訊息2個小時後,今日下午4點,360舉行釋出會, Vulcan(伏爾甘)團隊負責人和360的安全專家對外披露了發現EOS上漏洞的相關細節。
360首席安全工程師、伏爾甘團隊負責人鄭文彬回憶,早在半個月前,他們就發現了EOS上存在的漏洞,花了一週的時間證明這一漏洞確實會被利用。
鄭文彬描述,漏洞存在於EOS系統中的一行程式碼中,一旦被觸發,會導致維護EOS網路的超級節點接連被控制,進一步造成全節點被控,包括交易所衝提現節點、數字貨幣錢包伺服器節點等等,而全節點被控相當於EOS整個網路被控制,危害的直接結果包括竊取超級節點私鑰,控制EOS 數字幣的交易,獲取使用者錢包私鑰,威脅數字資產安全。
360核心安全事業部安全研究員彭峙釀進一步解釋了漏洞觸發機制,他稱,攻擊者可利用EOS釋出智慧合約,將惡意程式碼寫進合約中,當超級節點解析合約時,就會觸發漏洞被控制,遭控制的超級節點又會將惡意程式碼打包傳送,其他的超級節點又會去驗證,一驗證又被控制,形成傳染般的接連被控。
鄭文彬表示,在證明漏洞會被利用後,團隊成員於昨日下午記錄了程式碼漏洞的細節詳情,連同解決方案形成報告,並聯絡到EOS的聯合創始人Daniel Larimer,向對方提供了該報告。
“漏洞就存在於一行程式碼中,修復起來比較簡單。”鄭文彬說,他們已經看到漏洞得到了修復。
“史詩級漏洞”引各方解讀
在釋出這一報告時,360公司用“史詩級”形容了EOS上的這一漏洞。隨著報告的傳播,EOS幣價下跌, 越發引起各方對EOS本身價值的判斷,外界猜測360 動機的同時,也對他們釋出報告的舉動進行了不同的解讀,造成了一系列的“輿論地震”。
暴露漏洞的EOS,被不看好它的大V抨擊為“垃圾專案”。陳偉星轉發360的發現時,發朋友圈稱EOS為區塊鏈毒瘤,是“毫無理想主義的極致炒作圈錢者”,募集資金去向不明、Dpos機制過度中心化、炒作超級節點都成為他“看衰”EOS的論據。
而在EOS支持者看來,EOS主網上線前肯定會存在發現漏洞、修補BUG的正常過程。早在今年3、4月份熱鬧的超級節點競選期間,多個競選方在不同的路演現場都表達過對EOS主網上線前安全性、穩定性不足的看法,以及幣價波動的可能。
360的報告發出後,競選團隊HelloEOS的創始人梓岑就表示,EOS主網尚上線,抓BUG修BUG是日常,“這次有360的高手護航,也給EOS再多一重保障。”
EOS專案方也對主網上線前的安全性測試有所舉動。
今日,在360釋出這一報告前,EOS創始人Daniel Larimer也釋出推特表示,在EOS1.0版本釋出之前,幫助他們發現EOS1.O中關鍵BUG的貢獻者,將獲得1萬美金的獎勵。Daniel Larimer關鍵BUG的定義為“對於任何可能導致崩潰、特權升級或智慧契約中不確定性行為的獨特漏洞”。
360佈局區塊鏈安全的野心
對於持有EOS的散戶來說,360釋出的報告被視作利空訊息,更有人認為360在利用報告做空EOS。
今日,在釋出會上,鄭文彬否認了做空的說法,他說,如果做空,在主網上線後操作可能更有效果,“這只是安全行業的常規操作。”
業內的區塊鏈安全公司也對360釋出報告的舉動持有不同看法。一家公司成員以“他們確實挺強”認可了360在區塊鏈安全上的能力,但他也表示,他們昨晚也向EOS官方提交過高危漏洞報告,待官方修復後釋出,報告風格會考慮市場。
另一家區塊鏈安全公司的創始人認為,“360作為安全公司,可以做的更好。”他認可這一漏洞後果的嚴重性,但他認為,EOS主網還沒有上線,更多應該走提交BUG和修補的流程,急迫地釋出報告會帶來市場恐慌,“再說外面也沒在攻擊。”
360的報告很快就為他們帶來了“益處”,分別有一家專案方和交易所相繼釋出與360達成戰略合作。
這不可避免地讓外界認為,360借EOS漏洞宣佈他們進軍區塊鏈安全的佈局。
此前的5月25日,360曾對外發布過《數字貨幣錢包安全白皮書》,另一款針對分散式智慧安全系統的產品也在5月21日對外發布。
對此,今日,360安全團隊表示,釋出漏洞報告是因為EOS主網即將上線,他們希望能在上線前提示和協助EOS官方,也希望能引發區塊鏈從業者對安全的關注。他們也直言,此舉也是希望體現360在區塊鏈安全方面的價值,“事實上我們早就已經在這個行業了。”
