EOS现史诗级漏洞:半个月前就已发现,已有黑客盯上
文 | 棘轮 墨菲
EOS的创世计划,看来要推迟了。
就在今天下午,360安全卫士称,发现了EOS的一系列高危安全漏洞,这些漏洞是“区块链史诗级”的,“可完全控制虚拟货币交易”。
换言之,你拥有的EOS,瞬间就可能被窃取一空。
黑客小A(化名)对一本区块链表示,他们很早就盯上了这个漏洞,并准备根据这个漏洞,策划一些行动。
漏洞消息发出时,距EOS主网上线只有4天了。
舆论哗然。低迷的EOS价格再次下跌,比起4月最高时已跌去近一半。
因超级节点竞选大热的EOS,这次会遭遇冰火两重天的命运吗?
01 “史诗级漏洞”
21个超级节点,是EOS共识机制的基石。
区块链的拥趸认为,攻破PoW需要51%的算力,攻破DPoS需要足够多的节点。
但对于黑客而言,可能只需要一个致命的漏洞,就可以控制整个网络。
这一次,EOS就出现了这样的漏洞。
今天下午1点,360宣布,发现了EOS区块链上的一个史诗级漏洞,部分漏洞可以通过远程攻击,完全控制虚拟货币交易。
(360演示EOS漏洞)
这意味着,黑客可以获得至高无上的权力——只要上传一个具有恶意代码的智能合约,就能获得超级节点的控制权。
而在解析智能合约、打包区块的过程中,其他节点也会被一并感染。最终,所有21个超级节点,甚至所有备用节点,都会被黑客控制。
“在区块链历史上,我们还没有遇到过如此严重的漏洞。”360核心安全事业部研究院彭峙酿说。
360首席安全工程师郑文彬则称,早在5月11日,360就已发现EOS存在远程执行代码漏洞。
昨天下午,360验证了这一漏洞的可操作性。昨天深夜,360将漏洞细节同步到EOS项目方。
后者很快将这一漏洞进行修复。“仅仅是一行代码的事情。”郑文彬称。
(EOS开发人员在GitHub上修复了360提交的漏洞)
但这一行代码,一旦被黑客利用,就能让整个EOS生态,彻底毁灭。
“目前,这一漏洞仅出现在EOS上。但这并不意味着,其他区块链项目不存在危险。”360安全团队表示。
在他们看来,如今的区块链安全生态,与1990年代的软件行业颇有相似之处:一些项目团队,完全无暇顾及安全问题。
“EOS主网将于6月2日上线,现在他们在GitHub上的更新速度极快,很容易忽视安全问题。”一位360安全团队成员说。
由于区块链技术的特殊性,牵一发往往会动全身。项目方稍有不慎,就会埋下可以毁掉整个网络的暗雷。
而这种暗雷,已经成为黑客攻击的武器。
实际上,在黑产中,已经形成一个“情报嗅探组织”,他们专门去扫描各个币和链的漏洞,每天24小时,不停运转。
一旦发现漏洞,他们就会策划完整的“盗取计划”,狠赚一笔,美图BEC事件就是最好案例。
黑产对数字货币的关注程度,超出所有人的想象。任何安全隐患,都可能导致币价“一夜归零”。
而这次EOS的暗雷,竟然是“一系列”。
02 舆论哗然
360发现EOS“区块链史诗级漏洞”的消息,很快开始蔓延。
大佬们的回应各有不同。
李笑来在群里表示,早就知道了这个消息,“360属于白帽子”。
EOS创始人BM在EOS开发者群发布消息称,将会奖励发现并提交Bug的人,“提供有价值的漏洞会获得1万美金的报酬”。
这并不是EOS第一次出现技术漏洞。
5月15日晚,以太坊创始人V神就曾指出,EOS.IO最近更新的DPoS兼拜占庭容错机制无法保证区块的安全。
随后,BM还在推特上感谢V神,帮助EOS开发团队改善DPoS BFT终版共识机制。
两个曾经互怼的人,居然上演了如此和谐的一幕。
此次360文章称,这次发现的是“一系列高危安全漏洞”,可能还会有其他的漏洞消息出现。
“这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。 任何一个小的共识协议的疏忽,都会有机会DDoS整个区块链网络。”量子链创始人帅初在群里表示,面向区块链平台的设计,复杂度很高,也隐藏着更多安全隐患。
这意味着,越是灵活的设计,越会存在未知漏洞和隐患。
对EOS此次被爆出的安全漏洞事件,有人表示理解。
“Windows面世20多年,至今还进场打补丁。” EOS联盟吴郎在知识星球表示,这反而说明,“EOS得到了主流社区的关注”。
但也不乏技术层面的质疑之声。
“为什么项目方发现不了如此巨大的漏洞?”有网友提出,和宣传推广相比,EOS团队似乎对技术没有“真正的关注”。
还有人对EOS本身的DPoS模式提出质疑。
此前,三点钟社群发起人玉红就在数博会上表示,“EOS是全球最大的空气币和传销币”。
“一是21个超级节点,这个设计就是非常传销的,因为你必须身价1个亿才能玩。二是得欺骗我很多粉丝去买。三是很多的中产阶级和老百姓没有参与这个社群,这个很有问题。”玉红如是说,并建议买了的人赶紧清仓。
陈伟星也表示,EOS堪称区块链毒瘤;毫无理想主义的炒作圈钱者,是区块链共识的最大破坏者。
还有一个不容忽视的问题是,到目前为止,EOS官方的“宪法”或者“竞选制度”依然未完善,EOS还面临主网映射、分叉的难题。
这些,都迫在眉睫,却还悬而未决。
03 历史“黑材料”
实际上,不止EOS,其他区块链项目也曾出现各种“致命”漏洞。
几天前,教育链EDU、物联网区块链BAI的智能合约,被爆出存在重大漏洞。
先是EDU被爆出现重大漏洞,黑客不需私钥,就可转走任意账户的 EDU Token。
而由于合约没有 Pause 设计,无法止损。
随后,BAI 的智能合约也被发现类似漏洞。
漏洞爆出时,EDU与BAI已经遭遇黑客洗劫,Token被抛售,币价应声大跌。
其实,很多所谓漏洞,错误都很低级,完全可以被更正。
4月BEC(美蜜币)遭遇黑客攻击一事,便被币圈视为一例。
原因是,BEC连基本的“数据溢出”检查都没有。
“黑客输入了超过设定的数字,系统直接绕过了余额检查。”某区块链技术专家对一本区块链表示,攻击者可以利用该漏洞批量转账。
而就是这样一个简单到“实习生都不会犯的漏洞”,导致57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC被转移。
这个和美图、蔡文胜有千丝万缕关系、曾经暴涨53倍的代币,在瞬间归零。
而历史上最大的智能合约漏洞事件,发生在2016年的THE DAO身上。
彼时,中心化自治风投基金“THE DAO”刚在一个月内募得1.5亿美元的以太坊,刷新了众筹纪录,风头无两。
但很快,THE DAO智能合约设计上的漏洞被黑客利用,三分之一的以太币被盗走。
此后,以太坊不得不“回滚”,挽回被盗走的币。这也导致了以太坊后来的分叉。
虽然和其他合约漏洞相比,THE DAO的漏洞算得上“刁钻”,但它依然暴露了智能合约在安全性上的缺陷。
而这种缺陷,将成为区块链生态中,最不稳定的因素。
虽然区块链一直叫嚣着要“颠覆”古典互联网,但和古典互联网比起来,很多区块链团队的技术实力,仍然处于幼稚期。
“代码即法律。”在区块链时代,有人高呼这样的口号。
但在黑客眼中,这些不成熟的代码,已然构成了一片可随意收割的韭菜田。
在这里,他们找茬、掘金,从而迅速奔向财富自由。
版权声明
本文为【一本区块链】原创稿件,未经授权不得转载,否则将追究法律责任。在获得授权转载后,须在文章标题后注明“文章来源:一本区块链(ID:yibenqkl)”。