超能小蜜
具體來看,攻擊者會構造併發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等)被遠程控制。
由於已經完全控制了節點的系統,攻擊者可以竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易;獲取EOS網絡參與節點系統中的其他金融和隱私數據,攻擊者甚至還能將EOS網絡中的節點變為殭屍網絡中的一員,發動網絡攻擊或變成免費“礦工”,挖取其他數字貨幣。
為什麼說這是“史詩級”的漏洞呢?5月30日午間,360董事長、“紅衣教主”周鴻禕就此事進行了回應。
周鴻禕表示,這個其實是安全圈內部的說法,是半個舶來語。“史詩級”是從“Epic”翻譯過來的,國外安全社區經常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。由於“嚇尿了、嚇哭了、嚇軟了、崩潰了”這類詞已經被用得太多了,所以用了“史詩級”。
不過,周鴻禕也表示EOS現在的估值至少百億美金了,所以他覺得可以用“百億美金級別”來形容這個漏洞最好。
周鴻禕還指出:“未來區塊鏈行業一定會出現更多的安全問題,之前傳統互聯網領域裡面遇到的安全問題,區塊鏈行業裡面一定也會遇到。”所以,“我們一定要記住,有這麼一句話,叫“沒有攻不破的網絡”,
只有沒被發現的漏洞,或者被發現沒公開的,不存在沒有漏洞的網絡。”事實上,在這個安全漏洞被曝出來以前,360已經通知EOS方面進行修復了。而360方面後來選擇公開,周鴻禕表示:“我們也是希望以此呼籲大眾關注區塊鏈技術的同時也注意區塊鏈安全。”
分享到:
