区块链平台EOS 现高危安全漏洞,专家解读区块链安全

[摘要]360公司安全团队发现了区块链平台EOS的一系列高危安全漏洞。
任何一个新兴产业诞生之初总会面对各种各样的难题,而区块链产业目前遇到的最大难题是全球互联网、信息、IT行业斗争多年的安全难题。表象是比特币等各类数字货币价格动荡,深究之后却发现背后竟有黑客攻击的加持;某些区块链平台犯了看起来很不可思议的低级错误,动辄爆出成千万、上亿美金的损失,甚至直接导致破产,正应了那句圈内有名的话:世界上没有绝对安全的系统。

近日,360公司安全团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。

EOS是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达690亿人民币,在全球市值排名第五。

业界有观点认为,比特币是“区块链1.0”,以太坊是“区块链2.0”,EOS则是有望取代前两者成为区块链底链设施的新一代公有链平台。

在攻击中,攻击者构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。

由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。

对此,360企业安全技术研究院代码安全实验室负责人柳本金表示,因为EOS的源代码在互联网上都是公开的,任何人都可以用该代码构建自己的区块链应用,所以主要涉及的行业和应用除了EOS本身,还涉及采用EOS作为底层技术的区块链应用。

如果EOS在6月2号正常上线,那么该漏洞可能导致其所有节点被完全控制,包括窃取EOS超级节点的密钥、控制EOS区块网络中的转账记录、获取EOS网络节点中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

除此之外,该漏洞也会对区块链行业产生影响,让人们意识到区块链中的数据不会因为去中心化而“不可更改”,它同样也会受漏洞的影响。

由于国家目前大力提倡创新技术的研究,区块链已经广泛应用在数字货币、金融行业、以及基于区块链技术创新的企业级应用、政府等行业,并且可能逐渐演变成互联网技术的基石,一旦这些区块链系统遭受攻击,对于金融、政府等将带来致命的影响,对于相关的企业也会造成不可估量的损失,对国家的基础设施同样会带来重大的影响,类似WannaCry的悲剧可能会重演。

为避免类似悲剧再次发生,360企业安全技术研究院观星实验室负责人龚玉山建议,鉴于360团队第一时间将此漏洞通知了作者,EOS官方代码已经更新,采用相关技术的企业应及时更新到EOS最新代码。

需要注意的是,软件和应用系统除了提高开发者自身的安全水平之外,还应该在项目发布前请专业的安全公司做代码审计和漏洞挖掘测试,以消除代码中的安全隐患,目前360企业安全已经推出了区块链安全审计服务以及一系列区块链安全的解决方案,为区块链企业在安全上保驾护航。




版权声明:

凡本网注明”来源:中国软件网(http://www.soft6.com)”的所有作品,版权均属于中国软件网或昆仑海比(北京)信息技术有限公司,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

任何行业、传播媒体转载、摘编中国软件网(http://www.soft6.com)刊登、发布的产品信息及新闻文章,必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处,且转载、摘编不得超过本网站刊登、转载该信息的范围;未经本网站的明确书面许可,任何人不得复制或在非本网站所属的服务器上做镜像。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,昆仑海比(北京)信息技术有限公司将追究其相关法律责任。