中新經緯客戶端5月30日電 日前,360安全衛士官方微博稱360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞,並將該類漏洞上報了EOS官方。EOS創始人BM在30日凌晨回應稱,360報告中提到的漏洞早已被EOS修復,並表示360的行為是在製造恐慌。
360公告:發現區塊鏈史詩級漏洞
29日,360安全衛士官方微博發佈《360發現區塊鏈史詩級漏洞 可完全控制虛擬貨幣交易》一文,稱近日360公司Vulcan(伏爾甘)團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
360稱,由於區塊鏈網絡去中心化的計算特點,一個區塊鏈節點上的安全漏洞,可能引發成千上萬的節點遭到攻擊。在攻擊中,攻擊者會構造併發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點(備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等)被遠程控制。由於已經完全控制了節點的系統,攻擊者可以“為所欲為”,如竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易等。
同日,360公司董事長兼CEO轉發了這條公告,並指出,“360安全大腦發現的區塊鏈漏洞,價值超過‘百億美金’,如果被非法利用,嚴重情況下,EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。”
然而,EOS創始人BM並不承認360發現的“安全漏洞”。據Bianews報道,30日凌晨,BM在電報群中回應稱,360報告中提到的漏洞早已被EOS修復,且早於360發佈報告的時間。BM認為“360的行為是在製造恐慌”。
周鴻禕:我們遵循了行業披露流程
周鴻禕稱,我們的安全廠商在對外公開披露漏洞之前一定會先和對方溝通,將漏洞提交給對方,在他們確認修復之後我們才對外公開。 “因為如果EOS沒有修復,我們公佈出來了,肯定會有一大波黑客立馬上去搞他們,所以我們發佈報告的時間當然會是晚於修復時間的。”
周鴻禕表示,“非常明確地說,我們先私下聯繫了BM,通知了他們EOS漏洞 ,希望他們先修復。這都是有聊天記錄截屏的 ,等到EOS修復了,我們再對外發布這個漏洞公告。” 周鴻禕強調,這也是安全圈的行業通行做法,對方不修復,我們不會公告。“至於製造恐慌,如果說我們要製造恐慌,直接在主網上線時放出這個,恐慌效果一定比現在要好的多。” (中新經緯APP)
閱讀更多 中新經緯 的文章
