昨日下午1时许,360公司对外通报,他们发现了EOS平台存在一系列高危安全漏洞,部分漏洞可在EOS节点上远程执行任意代码,通过远程攻击,直接控制和接管EOS上运行的所有节点。
360用“区块链史诗级漏洞”形容了这一隐患的级别,并称“可完全控制虚拟货币交易”。
尽管360强调已在29日凌晨上报EOS官方并协助修复漏洞,但消息发布后,已经处于下跌走势的EOS在一小时内,从11.21美元下探至10.73美元,跌幅4%。
今日下午,发现此漏洞的360 Vulcan(伏尔甘)团队在对外的发布会上表示,这部分漏洞存在,危害虽大,但修复起来并不困难,他们看到EOS已经修复了漏洞。后续也还会向官方提交更多发现,对方也向他们表示,在修复这些问题前,EOS主网不会正式上线。
区块链业内多方也对360此举给出不同的解读,散户投资者将此视作一次做空消息;而参加EOS超级节点竞选的一些团队认为,在主网上线前,发现漏洞、修补BUG很正常,360的加入让EOS多了安全保障。
Vulcan(伏尔甘)团队否认“做空”说法,他们表示,这次的发布仅是互联网安全行业的常规流程,但他们也直言此举为了“体现360在区块链安全领域的价值”。
仅一行代码现漏洞但危险系数高
在发布漏洞消息2个小时后,今日下午4点,360举行发布会, Vulcan(伏尔甘)团队负责人和360的安全专家对外披露了发现EOS上漏洞的相关细节。
360首席安全工程师、伏尔甘团队负责人郑文彬回忆,早在半个月前,他们就发现了EOS上存在的漏洞,花了一周的时间证明这一漏洞确实会被利用。
郑文彬描述,漏洞存在于EOS系统中的一行代码中,一旦被触发,会导致维护EOS网络的超级节点接连被控制,进一步造成全节点被控,包括交易所冲提现节点、数字货币钱包服务器节点等等,而全节点被控相当于EOS整个网络被控制,危害的直接结果包括窃取超级节点私钥,控制EOS 数字币的交易,获取用户钱包私钥,威胁数字资产安全。
360核心安全事业部安全研究员彭峙酿进一步解释了漏洞触发机制,他称,攻击者可利用EOS发布智能合约,将恶意代码写进合约中,当超级节点解析合约时,就会触发漏洞被控制,遭控制的超级节点又会将恶意代码打包发送,其他的超级节点又会去验证,一验证又被控制,形成传染般的接连被控。
郑文彬表示,在证明漏洞会被利用后,团队成员于昨日下午记录了代码漏洞的细节详情,连同解决方案形成报告,并联系到EOS的联合创始人Daniel Larimer,向对方提供了该报告。
“漏洞就存在于一行代码中,修复起来比较简单。”郑文彬说,他们已经看到漏洞得到了修复。
“史诗级漏洞”引各方解读
在发布这一报告时,360公司用“史诗级”形容了EOS上的这一漏洞。随着报告的传播,EOS币价下跌, 越发引起各方对EOS本身价值的判断,外界猜测360 动机的同时,也对他们发布报告的举动进行了不同的解读,造成了一系列的“舆论地震”。
暴露漏洞的EOS,被不看好它的大V抨击为“垃圾项目”。陈伟星转发360的发现时,发朋友圈称EOS为区块链毒瘤,是“毫无理想主义的极致炒作圈钱者”,募集资金去向不明、Dpos机制过度中心化、炒作超级节点都成为他“看衰”EOS的论据。
而在EOS支持者看来,EOS主网上线前肯定会存在发现漏洞、修补BUG的正常过程。早在今年3、4月份热闹的超级节点竞选期间,多个竞选方在不同的路演现场都表达过对EOS主网上线前安全性、稳定性不足的看法,以及币价波动的可能。
360的报告发出后,竞选团队HelloEOS的创始人梓岑就表示,EOS主网尚上线,抓BUG修BUG是日常,“这次有360的高手护航,也给EOS再多一重保障。”
EOS项目方也对主网上线前的安全性测试有所举动。
今日,在360发布这一报告前,EOS创始人Daniel Larimer也发布推特表示,在EOS1.0版本发布之前,帮助他们发现EOS1.O中关键BUG的贡献者,将获得1万美金的奖励。Daniel Larimer关键BUG的定义为“对于任何可能导致崩溃、特权升级或智能契约中不确定性行为的独特漏洞”。
360布局区块链安全的野心
对于持有EOS的散户来说,360发布的报告被视作利空消息,更有人认为360在利用报告做空EOS。
今日,在发布会上,郑文彬否认了做空的说法,他说,如果做空,在主网上线后操作可能更有效果,“这只是安全行业的常规操作。”
业内的区块链安全公司也对360发布报告的举动持有不同看法。一家公司成员以“他们确实挺强”认可了360在区块链安全上的能力,但他也表示,他们昨晚也向EOS官方提交过高危漏洞报告,待官方修复后发布,报告风格会考虑市场。
另一家区块链安全公司的创始人认为,“360作为安全公司,可以做的更好。”他认可这一漏洞后果的严重性,但他认为,EOS主网还没有上线,更多应该走提交BUG和修补的流程,急迫地发布报告会带来市场恐慌,“再说外面也没在攻击。”
360的报告很快就为他们带来了“益处”,分别有一家项目方和交易所相继发布与360达成战略合作。
事情的关键正如BM定性的那样,此次漏洞事件并非“BUG”而是一个“FUD”即制造恐慌:
1、踩着“恐慌”的时间节点。360选择了EOS主网上线前三天曝光漏洞。如此关键时期,草木皆兵,一个是传统互联网领域的安全巨头,在安全领域的权威性品牌形象,一个是牵扯30亿美元在数字货币市场市值排名第五的热门项目。尽管此前对EOS的质疑声音不少,但360站出来,其威慑力自然不可小觑。据360方面称,其在年初就已经开始区块链安全研究工作,想必该漏洞也不是这一两天才发现的(360已经准备好了解决方案),那为何偏偏选择在主网上线前的关键时刻进行曝光?况且漏洞本身已经被修复,360应该考虑到这会给市场带来的震荡影响。
2、过于密集的媒体负面报道。假使漏洞是昨天刚发现的,360也表示第一时间上报给了EOS团队,但从BUG提交到美国EOS团队回应前,至少需要几个小时的时间差。在此危机真空期,360不曾和EOS团队同步媒体曝光细节并作预警,就大肆展开媒体报道,确实制造了市场盲目恐慌。尽管360不承认有做空行为,但实际产生了一些做空效应。
3、是敌人还是盟友?吊诡的是,漏洞刚爆出不久,(EosLaoMao)等超级节点就开始站队了,表示将和360区块链安全持续保持沟通,深入探讨安全的重要性。OracleChain也宣布与360战略合作,表示双方将共同发布EOS超级节点安全解决方案细节。就在漏洞情况EOS官方明确表态还没给出的情况下,360安全就已经以护航者的姿态渗透进EOS的超级节点生态当中了,这一波操作堪称完美。当然于超级节点而言抱360大腿是为了借势赢得节选,那么360又是为了什么呢?代号“伏尔甘”,很容易让人联想到吃鸡游戏中的“伏地魔”,一直深藏不露,关键时候挺身而出致命一击,最后吃鸡!
恰如,量子链帅初在微信群里表示,该漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽,都会有机会ddos整个区块链网络。
ETH、EOS等智能合约开放平台,近两年取得了野蛮式的快速成长,但作为一个区块链生态公链,未来做DAPP开发影响的会是数以千计的项目。因此平台成长过程中的生态安全问题至关重要。由于智能合约有不可逆、公开访问等特性,时不时有BUG爆出来也正常,需要第三方安全公司参与进来做智能合约审计和纠错。
写在最后:
金庸在《天龙八部》作品中塑造了一个“假传消息”者的形象,他怂恿“带头大哥”造成雁门关灭门惨案,成了终生无法挽回的过错。这个假传消息者大家都知道是慕容复之父慕容博,其与萧峰、萧远山、鸠摩智被金庸小说读者誉为“天龙四绝”。脆弱的智能合约生态初期,需要这样的“绝世高手”,但是拯救武林还是毁灭江湖,高手的节点性意义可想而知。
这两天流行一个段子,“链圈在后方打怪升级,币圈在前方送人头”补充一句,古典互联网的爸爸们,就别制造网络卡顿了。
不过,整体而言,作为第三方安全领域的技术公司,能以更专业、更权威的姿态第一时间曝光安全漏洞,解读漏洞威胁,维护区块链安全生态,这是好事。媒体更应该看到,360布局区块链生态安全给整个行业带来的利好因素,而不是一味的炒作和炮制恐慌情绪。
网友评论