因超級節點競選而在近期大熱的全球第五大數字貨幣EOS卻在官網即將上線的關鍵時候遭遇了安全危機��。
5月29日���,360安全團隊發表了一篇名為“360發現區塊鏈史詩級漏洞可完全控制虛擬貨幣交易 ”的文章�,360董事長周鴻祎評價該漏洞為“史詩級���、價值百億美元”����,由此引發市場恐慌,5月29日EOS價格一度下跌幅度達10%�����。
很快����,EOS創始人BM在telegram群中回復稱,360報告中提到的漏洞早已被修復���,且早于360發布報告的時間�,BM認為360在故意制造市場恐慌,并進一步強調EOS主網上線前不會有重大BUG�。
因BM宣布該漏洞早已被EOS修復���。隨后EOS幣價格反彈�,截止5月31日上午10點 �����,在火幣交易所���,EOS|USDT價格約為78.6元����。截至5月29日,EOS市值已達121.3億美元����。6月2日�����,EOS即將主網上線,在這個關鍵時點���,360高調對EOS出手究竟想干什么?
“紅衣教主”進軍區塊鏈
在發布漏洞的當天,360陸續與EosLaoMao���、OracleChain、數字錢包Dbank���、幣安等機構達成戰略合作,合作對象覆蓋數字貨幣交易所����、節點、數字貨幣錢包等各種場景。EosLaoMao、OracleChain都是此次EOS超級節點的參與方����,Dbank是360在區塊鏈領域第一個試水的產品��,主要是基于360技術的數字資產管理平臺。
第二天,即5月30日,周鴻祎又高調的參加了自媒體火星財經的《王峰十問》�����。
在業內人士看來�,這是一場蓄謀已久的PR,“發現漏洞后立刻對外宣傳,且恰好風險在EOS的關鍵時間點,時間點太巧,讓人不禁遐想�。”一位區塊鏈安全領域人士這樣認為���,不過在與火星財經的對話中����,周鴻祎否認了這一說法��。
但是至少有一點可以肯定�,紅衣教主通過此役開始正式進軍區塊鏈安全領域了���。
周鴻祎聲稱接觸區塊鏈是從年前開始的���,混跡于三點鐘區塊鏈群���,但很少見其在群里發聲�����,更多時候他是一個學習者和觀察者的角色。
而如今���,360表示將進軍區塊鏈安全領域。“我希望大家記住���,EOS這個漏洞,不是最后一個��,也一定不是最厲害的一個�����。”
周鴻祎介紹稱����,網絡安全的影響已經從最初簡單的信息安全�����,演變到從線上到線下都會受到網絡攻擊的威脅����,并且新威脅越來越多。
其表示未來360將圍繞區塊鏈安全生態推出三個系統����,主要包括數字貨幣錢包安全審計系統��、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。
區塊鏈安全領域中既包含傳統的互聯網安全服務部分,比如交易所����,也包括新增的智能合約部分�����。
在專注于網絡信息安全問題的白帽匯創始人兼CEO趙武看來����,目前的鏈上出現的安全問題主要是智能合約的問題,誰擁有智能合約的原創漏洞�,誰就有強大的競爭力����。
“大部分的企業都是跟風�,沒有研究核心漏洞的能力。這次360展現的能力就是利用智能合約的虛擬機機制下的漏洞完成控制����,之前出現的一系列問題比如BEC的整型溢出導致的直接清零�����,考究的是安全團隊的漏洞挖掘能力。”趙武表示���。
360的股價也隨著這兩天的輿論遭遇了波動,在5月29日小幅上漲2.9%后���,次日再下跌3.27%,截止5月30日�,三六零股價收于33.68元/股�����。
被忽視的區塊鏈安全
5月29日,360召開了關于發現EOS漏洞的新聞媒體溝通會�����,同時在360安全官方微博宣稱����,旗下的Vulcan 團隊發現區塊鏈平臺EOS的系列高危安全漏洞�����,其中部分漏洞可以在EOS節點上遠程執行任意代碼�����,直接控制和接管遠程EOS上運行的所有節點。
“如果漏洞被人利用,可以控制EOS網絡里面的每一個節點、每一個服務器���,那就不僅僅是接管網絡里面的虛擬貨幣、各種交易和應用,也可以接管節點里面所有參與的服務器�,拿到服務器權限�����,就可以為所欲為了。”周鴻祎在接受媒體采訪時表示,“EOS現在的估值至少百億美金了���,所以我覺得這個漏洞價值百億美金并不夸張。” 360Vulcan 團隊在5月11日發現了該漏洞����,并于5月28日完成了利用該漏洞控制EOS網絡的演示�����,同時聯系EOS方面反饋該漏洞��,5月29日凌晨兩點EOS團隊將漏洞進行了修復。
值得注意的是����,360對外發布的EOS高危漏洞的時間恰好臨近EOS上線節點。6月2日,EOS主網將上線,EOS Token將基于自身公有鏈運行���,EOS被視為是繼比特幣、以太坊后第三代區塊鏈產品。根據鏈塔智庫的報告����,在今年五月中旬以來�����,加密數字貨幣市場大跌,四個主流幣中,EOS跌幅最大,將近30%�����。該漏洞被360爆出后�����,EOS價格出現短暫下跌����,隨后反彈����。
趙武對此分析稱,目前爆出的該漏洞為平臺級的,屬于高危漏洞����。在白帽匯最近發布的區塊鏈安全研究報告中�����,將區塊鏈攻擊事件包括共識機制��、智能合約��、交易平臺、用戶自身四個方面���。360此次發現的EOS漏洞屬于智能合約中的合約虛擬機的逃逸漏洞。
據了解�����,智能合約通常都是一個虛擬機的形式運行的����,而逃逸漏洞可以利用虛擬機的漏洞進行到真實主機的穿越。“區塊鏈領域這是第一例虛擬機逃逸案例�����,但是在傳統安全領域對應虛擬機逃逸的案例非常多���。”
在趙武看來����,這通常是由于沒有投入足夠的安全測試造成的。
實際上����,區塊鏈安全問題頻發����。4月,因數據溢出漏洞導致BEC被大量拋售市值歸零����,更早之前世界第二大數字貨幣交易所幣安發生賬戶被盜事件,以及日本第二大交易所Coincheck的價值5億美元新經幣失竊�����,使得整個數字貨幣交易市場彌漫著恐慌與不安情緒����。
據區塊鏈安全研究報告統計,80%的攻擊損失來自于業務層面的攻擊�����,其損失額度從2017年開始呈現指數上升趨勢�����,截止2018年3月31日���,已披露的安全事件造成損失達8.1億美元�����。
“錢多,漏洞多��,管控少這是根本原因����,參與的人一多,問題就凸顯了�����。未來區塊鏈安全事件一定會持續的爆發一段時間��,隨著安全標準和要求的逐步完善,以及鏈圈自身會加強安全審計和評估工作,漏洞會得到一定的控制��。最終會跟目前的網絡安全形勢一樣����,依舊嚴峻,但是相對可控。”趙武告訴《中國企業家》�����。
微信掃一掃
