360安全衛(wèi)士官方微博29日中午發(fā)布消息：近日，360公司Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過(guò)遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。

29日凌晨，360第一時(shí)間將該類(lèi)漏洞上報(bào)EOS官方，并協(xié)助其修復(fù)安全隱患。EOS網(wǎng)絡(luò)負(fù)責(zé)人表示，在修復(fù)這些問(wèn)題之前，不會(huì)將EOS網(wǎng)絡(luò)正式上線(xiàn)。

足以轟癱數(shù)字體系的區(qū)塊鏈漏洞

傳統(tǒng)軟件領(lǐng)域的漏洞可能被利用來(lái)發(fā)起網(wǎng)絡(luò)攻擊，造成數(shù)據(jù)、隱私的泄露甚至實(shí)際生活的影響。而數(shù)字貨幣本身是一套金融體系，在數(shù)字貨幣和區(qū)塊鏈網(wǎng)絡(luò)中的安全漏洞，往往會(huì)有更嚴(yán)重、更直接的影響。

由于區(qū)塊鏈網(wǎng)絡(luò)去中心化的計(jì)算特點(diǎn)。一個(gè)區(qū)塊鏈節(jié)點(diǎn)實(shí)現(xiàn)上的安全漏洞，可能引發(fā)成千上萬(wàn)的節(jié)點(diǎn)遭到攻擊。甚至，在傳統(tǒng)軟件漏洞領(lǐng)域被認(rèn)為相對(duì)危害較小的拒絕服務(wù)漏洞，在區(qū)塊鏈網(wǎng)絡(luò)中則可能引發(fā)整個(gè)網(wǎng)絡(luò)癱瘓的風(fēng)暴攻擊，對(duì)整個(gè)數(shù)字貨幣系統(tǒng)造成巨大沖擊。

EOS超級(jí)節(jié)點(diǎn)攻擊：虛擬貨幣交易完全受控

在攻擊中，攻擊者會(huì)構(gòu)造并發(fā)布包含惡意代碼的智能合約，EOS超級(jí)節(jié)點(diǎn)將會(huì)執(zhí)行這個(gè)惡意合約，并觸發(fā)其中的安全漏洞。攻擊者再利用超級(jí)節(jié)點(diǎn)將惡意合約打包進(jìn)新的區(qū)塊，進(jìn)而導(dǎo)致網(wǎng)絡(luò)中所有全節(jié)點(diǎn)（備選超級(jí)節(jié)點(diǎn)、交易所充值提現(xiàn)節(jié)點(diǎn)、數(shù)字貨幣錢(qián)包服務(wù)器節(jié)點(diǎn)等）被遠(yuǎn)程控制。

由于已經(jīng)完全控制了節(jié)點(diǎn)的系統(tǒng)，攻擊者可以“為所欲為”，如竊取EOS超級(jí)節(jié)點(diǎn)的密鑰，控制EOS網(wǎng)絡(luò)的虛擬貨幣交易；獲取EOS網(wǎng)絡(luò)參與節(jié)點(diǎn)系統(tǒng)中的其他金融和隱私數(shù)據(jù)，例如交易所中的數(shù)字貨幣、保存在錢(qián)包中的用戶(hù)密鑰、關(guān)鍵的用戶(hù)資料和隱私數(shù)據(jù)等等。

更有甚者，攻擊者可以將EOS網(wǎng)絡(luò)中的節(jié)點(diǎn)變?yōu)榻┦�網(wǎng)絡(luò)中的一員，發(fā)動(dòng)網(wǎng)絡(luò)攻擊或變成免費(fèi)“礦工”，挖取其他數(shù)字貨幣。

區(qū)塊鏈網(wǎng)絡(luò)安全隱患亟待關(guān)注

EOS是被稱(chēng)為“區(qū)塊鏈3.0”的新型區(qū)塊鏈平臺(tái)，目前其代幣市值高達(dá)690億人民幣，在全球市值排名第五。

在區(qū)塊鏈網(wǎng)絡(luò)和數(shù)字貨幣體系中，節(jié)點(diǎn)、錢(qián)包、礦池、交易所、智能合約等都存在很多的攻擊面，360安全團(tuán)隊(duì)此前已經(jīng)發(fā)現(xiàn)和揭露了多個(gè)針對(duì)數(shù)字貨幣節(jié)點(diǎn)、錢(qián)包、礦池和智能合約的嚴(yán)重安全漏洞。

此次360安全團(tuán)隊(duì)在EOS平臺(tái)的智能合約虛擬機(jī)中發(fā)現(xiàn)的一系列新型安全漏洞，是一系列前所未有的安全風(fēng)險(xiǎn)，此前尚未有安全研究人員發(fā)現(xiàn)這類(lèi)問(wèn)題。這類(lèi)型的安全問(wèn)題不僅僅影響EOS，也可能影響其他類(lèi)型的區(qū)塊鏈平臺(tái)與虛擬貨幣應(yīng)用。

360表示，希望通過(guò)這一漏洞的發(fā)現(xiàn)和披露，引起區(qū)塊鏈業(yè)界和安全同行在這類(lèi)問(wèn)題的安全性上更多的重視和關(guān)注，共同增強(qiáng)區(qū)塊鏈網(wǎng)絡(luò)的安全。

好事多磨。

當(dāng)年以太坊上線(xiàn)就發(fā)生了DAO事件，導(dǎo)致剛上線(xiàn)就分叉，這次應(yīng)該慶幸還沒(méi)上線(xiàn)就發(fā)現(xiàn)了漏洞。但是這樣的事件可能會(huì)推遲主網(wǎng)上線(xiàn)的時(shí)間，到時(shí)候又是一波下挫。

一個(gè)復(fù)雜系統(tǒng)幾乎是肯定會(huì)出問(wèn)題的，比如ETH，想追求顛撲不破的系統(tǒng)，那還得是原始的BTC。EOS出這種事情，本在我預(yù)料之內(nèi)。從今天EOS的走勢(shì)可以明顯看出，在文中提到的“29日凌晨”，大概4點(diǎn)開(kāi)始EOS先迎來(lái)一波跳水，13點(diǎn)開(kāi)始遭遇集中拋售。而360的文章在微博發(fā)出的事件是12點(diǎn)38分。

出現(xiàn)了這種事，對(duì)近期脆弱的幣市是一個(gè)不大不小的打擊。市場(chǎng)反應(yīng)基本符合預(yù)期，短時(shí)間內(nèi)最大跌幅15個(gè)點(diǎn)左右，之后略有回升，這個(gè)跌幅也就差不多了。做長(zhǎng)線(xiàn)但是前期籌碼不夠的，在隨后若遭遇恐慌性?huà)伇P(pán)可以適當(dāng)接手，不建議大幅買(mǎi)入。但是脆弱的市場(chǎng)真的沒(méi)法承受下一次打擊了，EOS搞了一年，已經(jīng)成為了幣市的一面旗幟，如果EOS倒了，這市場(chǎng)短期內(nèi)就真的沒(méi)法玩了。最后再次慶幸這事是在上線(xiàn)之前發(fā)生的。

天下數(shù)據(jù)IDC提供香港服務(wù)器、美國(guó)服務(wù)器等全球海外服務(wù)器租用托管，是區(qū)域鏈、直銷(xiāo)、流媒體、外貿(mào)、游戲等服務(wù)器解決方案首選品牌。天下數(shù)據(jù)已為多家企業(yè)提供區(qū)塊鏈服務(wù)器租用托管解決方案，為他們的區(qū)塊鏈安全提供服務(wù)器支持！具體詳詢(xún)?cè)诰�(xiàn)客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002026.html