{太平洋信息}块链最近一直很忙,智能合同中暴露出严重漏洞。
5月29日,一个来自360的Vulcan团队向媒体宣布,它在块链平台EOS中发现了一系列高风险的安全漏洞,其中一些漏洞可以在EOS节点上远程执行任意代码,这些代码可以直接控制和接管所有节点ru。通过远程攻击实现EOS。
目前,EOS拥有690亿元的市场资本,在全球市场资本中排名第五,并声称是Block Chain 3.0的新平台。(含意,比特币老板,以太网广场第二,第三是我!)
根据一位名叫Lotto的内部人士的说法,EOS在行业中如此知名的原因之一是它的团队声称EOS的TPS(每秒提交的事务数量)可以达到几千个,并且这种系统的吞吐量非常有吸引力。目前,只有7个比特币的TPS、40个以太网的TPS、1000个纹波和1000个f可用。RM。
起初,EOS原定6月1日直播,但就在门打开之前,360火神队发现了一个史诗般的漏洞。
那么,漏洞在哪里呢修理费用高吗其他街区链平台也会有类似的漏洞吗
29日下午,360公司Vulcan(Volgan)团队负责人郑文斌、核心业务部安全研究员彭志峰、信息安全部门负责人高雪峰在360总部回答了这些问题(统称为3)。60课文之后)。
泄露后不久,周鸿祎在她的个人微博上估计泄漏超过一百亿美元。
据微博报道,如果非法利用,EOS甚至整个虚拟货币市场将遭遇惨败。
漏洞发现者Guhe在他的个人微博中解释说,攻击者很难在64位系统中实现远程代码执行,因为通常缺乏利用远程攻击过程中的漏洞所需的内存布局。多次读写DEP/ASLR。
简单地说,这是两个检查点,dep是检测恶意代码的一种手段,如果攻击者突破这个网关,也会遇到第二个网关,aslr,它增加了攻击者预测目标的难度,阻止了攻击者直接定位t的位置。他攻击代码,以防止溢出攻击。
然而,EOS引入的WASM虚拟机加速了合同的执行,使得他们绕过这两个层次。HOSTSTATE渠道怀疑本文开头提到的EOS的TPS性能优势是以牺牲安全性为代价的。
每个人都应该听说封锁链连接N点,攻击者就是其中之一。他构造并发布包含恶意代码的智能合同,然后EOS超级节点在执行恶意合同时触发安全漏洞,然后攻击者使用超级节点将恶意合同打包到一个新的块中,导致远程欺骗。控制网络中的所有节点(备选超级节点、交换充值呈现节点、数字钱包服务器节点等)。
因此,攻击者可以做任何他们想要的,例如窃取EOS超级节点的密钥,控制EOS网络中的虚拟货币事务,并从参与节点系统的EOS网络获得其他金融和隐私数据,例如交换机中的数字货币和钱包。EMS。用户密钥、密钥用户数据和隐私数据。
即使攻击者可以将EOS网络中的节点转换成僵尸网络,发动网络攻击,或成为自由矿工,挖掘其他数字货币。
360说,虽然在以太网中以前存在智能合同漏洞,但是它从未达到远程执行任意代码的程度(即,远程控制可用于直接控制和接管链上运行的所有节点)。
在今天接受Golden Finance采访时,之前专注于块链安全的团队Slow Fog Technologies说,史诗般的漏洞并没有被过度描述,因为该漏洞可以直接访问EOS超级节点的服务器特权。
周宏正在他的微博中透露,360自年初以来,已经对块链安全做了大量的研究,郑大远程并且已经提出了几种块链安全解决方案,其中EOS超节点安全解决方案就是其中之一。
在采访中,几位安全研究人员还表示,传统的软件漏洞可能被利用来发动网络攻击,造成数据、隐私泄露,数字货币本身就是一套金融系统,在数字货币和阻塞连锁网络安全方面存在漏洞。ES,往往更严重,更直接的阴影。因此,我们非常重视对块链安全性的研究。
本月早些时候,他们发现了这一漏洞,并花了半个多月的时间研究如何充分利用它。28日晚上,他们向EOS团队提供了关于漏洞的全面利用的演示视频和相关代码细节。他们今天早上帮助解决了这个问题。
找到修补复杂的洞花了这么长时间吗6月1日推出的EOS会被下一个漏洞推迟吗
360说,对于这个问题,可能造成严重损失的优先级漏洞修复起来并不复杂,而且很快就可以修复,但它们在EOS中发现了更多的系统漏洞,并且不清楚这些漏洞是否会延迟EOS的启动。
据了解,360以前已经发现并揭露了一些数字货币节点,钱包,挖掘池和智能合同的严重安全漏洞,加密钱包,例如,他们相信在市场上有问题的Bacheng。今天发现的漏洞是不是EOS独有的,并且大多数当前的块链智能合同如以太网可能面临这样的问题。
也就是说,这种类型的安全问题不仅影响EOS,还影响其他类型的块链平台和虚拟货币应用程序。
他们报道这个漏洞,主要是为了引起连锁街区产业和安全同行对这类安全问题的更多关注和关注。(其他人则表示他们想进入连锁街区)。
一个块链式安全负责人认为,EOS的漏洞只是刚刚开始,或者站在开源码的基础上,所以安全对等方可以发现各种问题,早期修复,EOS的官方态度比较正确。但是仍然有很多对等方不是开源的。
