• 简体中文
  • English
  • 多位技术大咖点评EOS安全漏洞

    作者 admin 日期 五月 30, 2018 未分类

    5月29日,360官方发布关于发现区块链平台EOS的一系列高危安全漏洞相关事件,360公司Vulcan(伏尔甘)团队表示,发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

    金色财经独家:EOS安全大漏洞 看看这些技术大佬们如何看待

    29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。

    消息一出,根据火币Pro数据显示,EOS价格跳水,一小时之内下跌6.65%。

    金色财经独家:EOS安全大漏洞 看看这些技术大佬们如何看待

    奇虎360称发现EOS安全大漏洞,EOS回应已经处理

    金色财经就事件细节向360方面求证了解到,28日下午1时,360方面完成了利用漏洞控制整个EOS网络的演示;28日晚间10时左右,360联系到了EOS官方反馈此漏洞;29日凌晨得到EOS回复称,不要公开漏洞细节,EOS网络正在修复。29日凌晨2点左右,EOS已经处理。

    360技术部门负责人对金色财经表示:”这件事情本身是一个很严重的问题,但修复起来并不困难,应该不会对主网上线造成重大的影响,因为EOS在此之前一直在不断的修复漏洞。“

    金色财经第一时间就此事联系EOS并独家获悉,EOS已将此事移交给律师团队处理,官方未承诺过主网上线时间。

    针对区块链平台EOS漏洞事件,金色财经独家采访了底层链技术研发团队,并且时刻关注关于此事件的相关信息,下面看看这些技术大佬们如何看待EOS漏洞事件。

    Zilliqa CEO Xinshu Dong:谈EOS漏洞看法

    金色财经独家采访Zilliqa CEO Xinshu Dong,他表示:“360公有链出现安全漏洞大家都很关心,因为区块链本身的不可逆性和多中心化。一旦出现漏洞,中心化的系统可以快速修复,但是多中心化的系统需要投票分叉解决,经常错过最好的修复时机。但这次也是给整个区块链领域一个很好的提醒。区块链安全是多方面的,包括协议层的抗攻击,智能合约语言层的可验证,当然也包括对智能合约运行时的基本的隔离。其实这些都是在安全研究领域众所周知的机制,但是需要区块链项目都把这些都设计好、实现好。面对这样的挑战,大家需要共同努力。”

     NULS联合发起人冉小波:漏洞很正常,开发者需要万分的小心

    金色财经独家采访NULS联合发起人冉小波,对于此次漏洞事件,NULS联合发起人冉小波表示:“EOS有漏洞是很正常的,每一个区块链项目都要经历无数的BUG修复过程,在区块链的世界里,这些都与经济是紧密结合的,因此开发者要万分小心,要对代码进行多次review。EOS在主网上线之前发现漏洞其实是万幸,如果在主网启动之后出现这种情况,可能只能用硬分叉的方式来解决了,而这又可能会造成社区的分裂。”

    慢雾科技:此次EOS漏洞是真实存在的并且可信度非常高

    金色财经独家采访慢雾科技,慢雾科技表示:“这个漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超级节点服务器的权限,360所描述的史诗级漏洞,这种表述不过分。360没有披露漏洞细节是可以理解的,此次漏洞是在EOS网络上发布的恶意智能合约,该智能合约可以同步到区块链网络上,每个超级节点都会同步。这个恶意的智能合约会导致合约的虚拟机被穿透,打穿虚拟机到服务器,从而控制服务器。EOS 超级节点攻击有几个入口P2P 端口、RPC 端口、恶意智能合约、服务器与集群等其他缺陷、人员安全缺陷。此次漏洞是第三点从智能合约对区块链网络进行的攻击。”

    IPFS布道者董天一:只要是代码,就可能有bug的存在

    金色财经独家采访IPFS布道者董天一,他表示,“从技术层面来讲,只要是代码,就可能有bug的存在。这和项目复杂程度,写代码人员的素质,项目管理能力都有关系。而且很难避免,历史有很多类似的经典案例。例如,日本瑞穗与东京证交所当年的乌龙事件,因为bug问题导致400亿日元(按当时汇率约合人民币27亿)的损失。EOS的事情不是第一次,也不会是最后一次,区块链领域高度依赖计算机代码,以后更应该提高重视,加强工程管理能力和程序员的编码能力。尽可能减少类似的事情发生。”

    NewsChain传播链联合创始人熊振:区块链系统中智能合约是最容易受到攻击的部分

    金色财经独家采访NewsChain传播链联合创始人熊振,他表示,“从以太坊的ERC20代币合约漏洞到EOS的智能合约漏洞,在区块链系统中智能合约是最容易受到攻击的部分。由于采用DPOS共识机制的区块链节点较少,更容易进行更新,所以只要能及早发现问题并进行修复,就可以把危害将至最低。在这点上采用DPOS共识机制的区块链具有天然的优势。”

    CSDN副总裁孟岩:如果不听到EOS官方的回应,我们难以得出公正的评价

    金色财经独家采访CSDN副总裁孟岩,他表示,“说来也巧,在上个月举行的 EOS 开发者沙龙上我提到 EOS 可能遇到的风险,就点出了这个问题。坦率的说,这不是EOS一家的事情,而是同质化 P2P 网络共有的问题。全网无论多少节点,跑的都是同一套代码,那么万一有bug怎么办,万一有安全漏洞怎么办,一出问题就是团灭。相对而言比特币和以太坊已经发展成为异质的网络,有多种实现版本,体系安全性高很多。Dan Larimer 和 EOS 团队经验丰富,又有 BitShares 和 Steemit 多年运行的经验,一般性的错误应该不会犯。但任何大型复杂的软件理论上都会有 bug 和漏洞,只是看什么时候发现,产生什么后果。未来 EOS 应该协议化,允许别人用不同的方式甚至不同的语言来实现,这样整个体系安全性会提高。今天 360 的这个宣布是个大事件,也体现了 360 安全团队的技术实力。EOS 正在悬赏奖励安全漏洞的发现者,希望 360 团队能够拿几个大奖,这也会是中国安全技术社区的荣光,而且也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但不得不吐槽一下,360 这个宣布用词夸张,公关渲染痕迹严重,如果能够平实一些,细节多一些会更好。我们现在都在等待 EOS 官方的回应,目前在推特上 EOS 官方和 Dan Larimer 本人对此宣布还没有发声。 ”

    奇虎360首席安全工程师郑文彬:没有做空,没有操作

    金色财经现场报道,在今日的360媒体见面会上,针对360公司发布EOS安全漏洞事件,360首席安全工程师郑文彬回应:“5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。”

    他还表示:“虽然散户不会运行全节点,但如果EOS漏洞进行攻击,散户可能受到多方面的威胁,丢币也是可能的。”

    现场有人提出360借EOS漏洞做空的质疑,奇虎360首席安全工程师郑文彬回应称,“没有做空,没有操作。主节点上线之后再做空可能会更好,所以本着360安全的工作,这是我们的素养,没有做空的想法。”

    360安全专家高雪峰:360能够将数字货币异常的交易都感知出来

    金色财经现场报道,在今日的360媒体见面会上,360官方人员高雪峰表示,“如何利用安全优势切入区块链领域,区块链不是新的技术而是把很多原有的技术做结合,传统的领域遇到的问题在区块链领域都会遇到,只是EOS关注人数足够多所以会引起重视。从360角度,也就是站在安全守卫者的角度出发,依托于360的安全代码,360把数字货币异常的交易等都能感知出来。漏洞攻击的角度来说,能够发现问题,使用防御手段,就能使得区块链行业中涉及到的智能合约的更安全。这也是360的初衷。”

    量子链帅初:这种漏洞在支持虚拟机的合约平台上容易发生

    量子链帅初朋友圈回应对EOS漏洞的看法:“1、这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患,任何一个小的共识协议的疏忽,都会有机会DDoS整个区块链网络; 2、面向货币的设计,比特币做的不多不少,刚好合适;3 、ETH和EOS,都不是面向货币的设计,面向区块链平台的设计,复杂度很高,也蕴含更多安全隐患; 4、之前unlimited btc,也是因为一个共识bug,网络就会被ddos瘫痪;5、应该和webassembly新的虚拟机和无gas模型有关,远程代码被vm编译后,被无限执行。”

    鱼池创始人神鱼发朋友圈回应对EOS漏洞看法

    鱼池创始人神鱼发朋友圈回应对EOS漏洞看法:“在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。”

    陈伟星:EOS堪称区块链毒瘤,共识最大破坏者

    陈伟星发布朋友圈回应了对EOS漏洞的看法,他表示:“EOS堪称区块链毒瘤,毫无理想主义的极致炒作圈钱者,区块链共识的最大破坏者。1、募集近30亿美元,完全不知去向;2、ICO一年365天,不知投向与目的;3、DPOS过度中心化,技术漏洞百出与过度包装;4、绝大部分炒币与所谓超级节点来自国内,而超级节点本质是一群利益共同体的炒作;总之一个花几千万人民币就能搞定的技术真的有必要让大家炒的那么欢。

    Oracle Chain CEO 老狼:EOS不会归零

    Oracle Chain CEO 老狼回应对EOS漏洞看法,对此,Oracle Chain CEO 老狼表示:“EOS不会归零。360以如此的时机和态度介入EOS的漏洞公布和修复是一个非常中立和客观的安全公司的态度,也能看出360团队是非常专业的白帽子团队。首先漏洞在EOS正式上线前公布,避免了EOS上线后被0day攻击的可能。可以设想,如果这个漏洞被其他的黑客首先发现或者利用,会对整个项目产生不可挽回的破坏。在EOS官方尚未对该漏洞进行恢复前,360并未公布太多该漏洞的细节,也避免了这一漏洞被恶意利用的可能。目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目,正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。”

    比原链段新星:本次EOS漏洞事件不难解决

    针对EOS漏洞事件,比原链CEO段新星在微博中表示,“该漏洞是一个利用数组越界漏洞可导致内存溢出,获得超级权限覆盖掉WASM,填写新的可执行代码进去,进行恶意操作。这种漏洞很常见。BM第一次是加了Assert判定检查(很遗憾失效了,可能哪儿没修干净)其实也可以包一个安全函数来操作,我觉得这个漏洞倒不难改。”

    360周鸿祎:EOS的漏洞价值超“百亿美金”

    360安全大脑发现EOS漏洞,周鸿祎在微博表示,“这一漏洞价值超过“百亿美金”。如被非法利用,可以远程攻击和接管EOS上运行的所有节点。EOS Beijing发表评论,EOS目前还在“实验阶段”,存在不确定性,本身投资者应该保持理性,平常心看待。目前得到的信息看,这个漏洞还比较严重。但目前主网还没上线,这个时间点问题暴露出来,是件好事。此外,EOS能够得到主流安全服务商的深度关注,会增强大家对项目的信心。”

    EOS创始人BM:EOS漏洞早在360披露前被修复

    EOS创始人BM在电报群中回应360提出的EOS安全漏洞问题。BM称,“360报告中提到的漏洞早已被EOS修复,并且早于360发布报告的时间。此外BM还表示,对于任何挑起市场恐慌的行为将取消其奖励资格。EOS主网在上线前不会有重大bug。”

    EOS创始人BM:EOS漏洞早在360披露前被修复

    EOS创始人BM的这一回复,也意味着这一漏洞风波告一段落,市场的恐慌情绪逐渐消退,EOS价格也持续回升,5月30日上午9点26分EOS价格为12.40美元(折合人民币81.16元),涨幅达4.76%,关于EOS主网上线时间金色财经会持续关注。

     

    本文作者:Catherine

    本文来源:金色财经

    原文地址:https://www.jinse.com/blockchain/197292.html

    留言