中国最大的互联网安全公司奇虎360最近发布公告称,即将于2018年6月2日发布的即将到来的EOS主网络可能由于一系列可能会瘫痪整个EOS网络的高风险安全漏洞而推迟发布。
更新:中国媒体出版社Jinse 报道称,360团队发现的安全漏洞已于29日下午2点由EOS开发团队隔离并解决。
5月29日的公告指出,360团队发现了EOS代码中的一个缺陷,可能使EOS网络中的节点远程受到损害:
“最近,360 Vulcan团队在区块链平台EOS中发现了一系列高风险安全漏洞。已经证实,其中一些漏洞可以在EOS节点上远程执行任意代码。也就是说,远程攻击可以直接控制和接管运行在EOS上的所有节点。“
奇虎360国家EOS易受“超级节点攻击”
EOS开发团队目前正在推动EOS平台的6月2日发布,Binance,Bitfinex和Kucoin等交易所都宣布支持从EOS ERC-20标记转换为新的EOS区块链。
然而,如果EOS开发团队在启动日期之前无法纠正由奇虎360识别的故障,那么启动可能会中断。根据奇虎360的说法,EOS网络可以让恶意个人发布一个包含可能会创建攻击媒介的代码的智能合约。
1 /中国互联网安全巨头360在#EOS平台上发现了“一系列史诗般的漏洞” 。一些错误允许在EOS节点上远程执行任意代码,甚至完全控制节点。
来源(中文):https://t.co/pt6nj6EodP
- cnLedger [不赠送ETH](@cnLedger)2018年5月29日
有趣的是,奇虎360团队发现的缺陷可以用来将恶意合约重新包装成一个新的区块,然后这将导致网络中的所有完整节点都被远程控制。奇虎360团队指出,这种可能性对EOS网络来说是灾难性的:
“由于节点系统是完全控制的,攻击者可以”随心所欲“,比如盗取EOS超级节点的密钥,控制EOS网络的虚拟货币交易; 并获取EOS网络参与节点系统中的其他金融和隐私数据 - 例如存储在钱包中的用户密钥,关键用户配置文件,隐私数据等。“
据奇虎360称,这样的事件将使攻击者有可能将EOS网络中的节点捕获到僵尸网络中。
EOS Mainnet启动可能会延迟
奇虎360团队于29日通知EOS官员,目前正积极与EOS开发团队合作,以确保问题在发布前得到解决。然而,如果在6月2日之前没有找到解决方案,推广可能会被推迟:
“在29日凌晨,360首先向EOS官员报告了这个漏洞,并帮助他们修复了安全风险。EOS网络负责人表示,EOS网络将在这些问题得到解决之前不会正式启动。“
据称安全漏洞显然位于EOS平台上的智能合约虚拟机内,但奇虎360团队尚未发布任何有关安全问题的文档。
EOS区块生产候选EOS Authority的技术负责人Roshan Abraham 表示,虽然EOS Authority没有提供有关安全漏洞的任何具体信息,但EOS项目不太可能存在VM问题:
“EOS中使用的VM是web程序集。Web组装由Google,Microsoft和其他主要公司积极开发。这是不太可能有虚拟机问题。这很可能是nodeos(在每个块生产者的服务器上运行块生产的程序)的特定问题“
EOS团队与奇虎360之间的协作可能有益于EOS项目,允许EOS利用安全巨头的经验和资源,以便在预计启动日期之前提高EOS区块链的整体安全性。
附录: Jinse提供的信息表明,360团队能够在5月28日下午1点确认漏洞,随后在当天晚上10点将安全漏洞报告给EOS开发团队。EOS要求360不公开漏洞的细节,并于29日下午2点之前修复安全问题。