超能小蜜
具体来看,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,攻击者甚至还能将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
为什么说这是“史诗级”的漏洞呢?5月30日午间,360董事长、“红衣教主”周鸿祎就此事进行了回应。
周鸿祎表示,这个其实是安全圈内部的说法,是半个舶来语。“史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。由于“吓尿了、吓哭了、吓软了、崩溃了”这类词已经被用得太多了,所以用了“史诗级”。
不过,周鸿祎也表示EOS现在的估值至少百亿美金了,所以他觉得可以用“百亿美金级别”来形容这个漏洞最好。
周鸿祎还指出:“未来区块链行业一定会出现更多的安全问题,之前传统互联网领域里面遇到的安全问题,区块链行业里面一定也会遇到。”所以,“我们一定要记住,有这么一句话,叫“没有攻不破的网络”,
只有没被发现的漏洞,或者被发现没公开的,不存在没有漏洞的网络。”事实上,在这个安全漏洞被曝出来以前,360已经通知EOS方面进行修复了。而360方面后来选择公开,周鸿祎表示:“我们也是希望以此呼吁大众关注区块链技术的同时也注意区块链安全。”
分享到:
