清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

EOS的创世计划,看来要推迟了。

就在今天下午,360安全卫士称,发现了EOS的一系列高危安全漏洞,这些漏洞是“区块链史诗级”的,“可完全控制虚拟货币交易”。

换言之,你拥有的EOS,瞬间就可能被窃取一空。

黑客小A(化名)对一本区块链表示,他们很早就盯上了这个漏洞,并准备根据这个漏洞,策划一些行动。

漏洞消息发出时,距EOS主网上线只有4天了。

舆论哗然。低迷的EOS价格再次下跌,比起4月最高时已跌去近一半。

因超级节点竞选大热的EOS,这次会遭遇冰火两重天的命运吗?

01 “史诗级漏洞”

21个超级节点,是EOS共识机制的基石。

区块链的拥趸认为,攻破PoW需要51%的算力,攻破DPoS需要足够多的节点。

但对于黑客而言,可能只需要一个致命的漏洞,就可以控制整个网络。

这一次,EOS就出现了这样的漏洞。

29日下午1点,360宣布,发现了EOS区块链上的一个史诗级漏洞,部分漏洞可以通过远程攻击,完全控制虚拟货币交易。

(360演示EOS漏洞)

这意味着,黑客可以获得至高无上的权力——只要上传一个具有恶意代码的智能合约,就能获得超级节点的控制权。

而在解析智能合约、打包区块的过程中,其他节点也会被一并感染。最终,所有21个超级节点,甚至所有备用节点,都会被黑客控制。

“在区块链历史上,我们还没有遇到过如此严重的漏洞。”360核心安全事业部研究院彭峙酿说。

360首席安全工程师郑文彬则称,早在5月11日,360就已发现EOS存在远程执行代码漏洞。

昨天下午,360验证了这一漏洞的可操作性。昨天深夜,360将漏洞细节同步到EOS项目方。

后者很快将这一漏洞进行修复。“仅仅是一行代码的事情。”郑文彬称。

(EOS开发人员在GitHub上修复了360提交的漏洞)

但这一行代码,一旦被黑客利用,就能让整个EOS生态,彻底毁灭。

“目前,这一漏洞仅出现在EOS上。但这并不意味着,其他区块链项目不存在危险。”360安全团队表示。

在他们看来,如今的区块链安全生态,与1990年代的软件行业颇有相似之处:一些项目团队,完全无暇顾及安全问题。

“EOS主网将于6月2日上线,现在他们在GitHub上的更新速度极快,很容易忽视安全问题。”一位360安全团队成员说。

由于区块链技术的特殊性,牵一发往往会动全身。项目方稍有不慎,就会埋下可以毁掉整个网络的暗雷。

而这种暗雷,已经成为黑客攻击的武器。

实际上,在黑产中,已经形成一个“情报嗅探组织”,他们专门去扫描各个币和链的漏洞,每天24小时,不停运转。

一旦发现漏洞,他们就会策划完整的“盗取计划”,狠赚一笔,美图BEC事件就是最好案例。

黑产对数字货币的关注程度,超出所有人的想象。任何安全隐患,都可能导致币价“一夜归零”。

而这次EOS的暗雷,竟然是“一系列”。

02 舆论哗然

360发现EOS“区块链史诗级漏洞”的消息,很快开始蔓延。

大佬们的回应各有不同。

李笑来在群里表示,早就知道了这个消息,“360属于白帽子”。

EOS创始人BM在EOS开发者群发布消息称,将会奖励发现并提交Bug的人,“提供有价值的漏洞会获得1万美金的报酬”。

这并不是EOS第一次出现技术漏洞。

5月15日晚,以太坊创始人V神就曾指出,EOS.IO最近更新的DPoS兼拜占庭容错机制无法保证区块的安全。

随后,BM还在推特上感谢V神,帮助EOS开发团队改善DPoS BFT终版共识机制。

两个曾经互怼的人,居然上演了如此和谐的一幕。

此次360文章称,这次发现的是“一系列高危安全漏洞”,可能还会有其他的漏洞消息出现。

“这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。 任何一个小的共识协议的疏忽,都会有机会DDoS整个区块链网络。”量子链创始人帅初在群里表示,面向区块链平台的设计,复杂度很高,也隐藏着更多安全隐患。

这意味着,越是灵活的设计,越会存在未知漏洞和隐患。

对EOS此次被爆出的安全漏洞事件,有人表示理解。

“Windows面世20多年,至今还进场打补丁。” EOS联盟吴郎在知识星球表示,这反而说明,“EOS得到了主流社区的关注”。

但也不乏技术层面的质疑之声。

“为什么项目方发现不了如此巨大的漏洞?”有网友提出,和宣传推广相比,EOS团队似乎对技术没有“真正的关注”。

还有人对EOS本身的DPoS模式提出质疑。

此前,三点钟社群发起人玉红就在数博会上表示,“EOS是全球最大的空气币和传销币”。

“一是21个超级节点,这个设计就是非常传销的,因为你必须身价1个亿才能玩。二是得欺骗我很多粉丝去买。三是很多的中产阶级和老百姓没有参与这个社群,这个很有问题。”玉红如是说,并建议买了的人赶紧清仓。

陈伟星也表示,EOS堪称区块链毒瘤;毫无理想主义的炒作圈钱者,是区块链共识的最大破坏者。

还有一个不容忽视的问题是,到目前为止,EOS官方的“宪法”或者“竞选制度”依然未完善,EOS还面临主网映射、分叉的难题。

这些,都迫在眉睫,却还悬而未决。

03 历史“黑材料”

实际上,不止EOS,其他区块链项目也曾出现各种“致命”漏洞。

几天前,教育链EDU、物联网区块链BAI的智能合约,被爆出存在重大漏洞。

先是EDU被爆出现重大漏洞,黑客不需私钥,就可转走任意账户的 EDU Token。

而由于合约没有 Pause 设计,无法止损。

随后,BAI 的智能合约也被发现类似漏洞。

漏洞爆出时,EDU与BAI已经遭遇黑客洗劫,Token被抛售,币价应声大跌。

其实,很多所谓漏洞,错误都很低级,完全可以被更正。

4月BEC(美蜜币)遭遇黑客攻击一事,便被币圈视为一例。

原因是,BEC连基本的“数据溢出”检查都没有。

“黑客输入了超过设定的数字,系统直接绕过了余额检查。”某区块链技术专家对一本区块链表示,攻击者可以利用该漏洞批量转账。

而就是这样一个简单到“实习生都不会犯的漏洞”,导致57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968个BEC被转移。

这个和美图、蔡文胜有千丝万缕关系、曾经暴涨53倍的代币,在瞬间归零。

而历史上最大的智能合约漏洞事件,发生在2016年的THE DAO身上。

彼时,中心化自治风投基金“THE DAO”刚在一个月内募得1.5亿美元的以太坊,刷新了众筹纪录,风头无两。

但很快,THE DAO智能合约设计上的漏洞被黑客利用,三分之一的以太币被盗走。

此后,以太坊不得不“回滚”,挽回被盗走的币。这也导致了以太坊后来的分叉。

虽然和其他合约漏洞相比,THE DAO的漏洞算得上“刁钻”,但它依然暴露了智能合约在安全性上的缺陷。

而这种缺陷,将成为区块链生态中,最不稳定的因素。

虽然区块链一直叫嚣着要“颠覆”古典互联网,但和古典互联网比起来,很多区块链团队的技术实力,仍然处于幼稚期。

结语

“代码即法律。”在区块链时代,有人高呼这样的口号。

但在黑客眼中,这些不成熟的代码,已然构成了一片可随意收割的韭菜田。

在这里,他们找茬、掘金,从而迅速奔向财富自由。(文/棘轮 墨菲)

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。