360上週首次發佈針對區塊鏈領域的安全解決方案,今日又發現了EOS史詩級安全漏洞。在360爆出EOS漏洞之後,今天國內區塊鏈上的熱點都來自360這家網絡安全公司。
周鴻禕稱:這一漏洞價值超過“百億美金”。如被非法利用,可以遠程攻擊和接管EOS上運行的所有節點。
今天,360安全團隊發現了EOS高危安全漏洞。經過漏洞驗證,利用該漏洞可以在EOS節點上遠程執行任意代碼,可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
周鴻禕表示:“360從年初開始,已經在區塊鏈安全方面做了很多研究,已經做了幾個區塊鏈安全解決方案,也包括EOS超級節點安全解決方案。EOS區塊鏈平臺漏洞媒體溝通會現場也表示,除了eos此次重大的漏洞外,其實也發現了門羅和以太坊的漏洞,不過安全問題較小,比較容易解決。”
針對EOS漏洞事件,比原鏈CEO段新星在微博中表示,該漏洞是一個利用數組越界漏洞可導致內存溢出,獲得超級權限覆蓋掉WASM,填寫新的可執行代碼進去,進行惡意操作。這種漏洞很常見。BM第一次是加了Assert判定檢查(很遺憾失效了,可能哪兒沒修乾淨)其實也可以包一個安全函數來操作,我覺得這個漏洞倒不難改。
EOS漏洞事件也讓整個市場恐慌情緒嚴重,EOS價格迅速暴跌。
據悉,在今天EOS區塊鏈平臺漏洞媒體溝通會上,360官方人員表示,“之前對20多款主流的分析,存在安全問題,列出問題是希望能夠使業內改正,我們也推出瞭解決方案——錢包白皮書,解決安全問題,EOS漏洞問題是我們做漏洞安全的團隊發現的,問題發現後才能能做快速的響應,使系統更加安全。”
360首席安全工程師鄭文彬表示,“半個月之前已經發現EOS的問題,只是當時只發現了漏洞,還沒有發現在超級節點的代碼問題,之前花了一週左右的時間證明漏洞可以被利用後,今天才發佈相關消息。”
有人提出360借EOS漏洞做空的質疑,360官方人員鄭文彬回應稱,“沒有做空,沒有操作。主節點上線之後再做空可能會更好,所以本著360安全的工作,這是我們的素養,沒有做空的想法。”
鄭文彬在溝通會上介紹,5月28日12點把漏洞提交給BM,BM凌晨完成了部分修復。目前這個漏洞僅僅是EOS網絡的漏洞,但這是在智能合約虛擬機中發現的新型安全漏洞,是前所未有的安全風險。
今日晚間,360宣稱將依託360安全大腦的積累,360推出EOS超級節點安全解決方案:在物理安全、平臺安全、網絡安全、系統安全、應用安全和數據安全六方面進行防禦部署。
業內人士認為這是360進軍區塊鏈業務的前奏。
微博博主“比特幣秋山君”爆料,據知情人士透露,360在EOS主網這個時間點爆料出漏洞主要目的是為推出企業級區塊鏈安全軟件造勢。
多家企業與360達成戰略合作
近期,幣安與360達成安全方面的深度合作,360將為幣安提供一系列智能合約項目的代碼審計,且在項目方代碼升級後持續提供安全審計服務。同時,360安全團隊也將向幣安提供長期的安全檢測服務,任何的技術漏洞將會在第一時間提出及解決。 雙方認為此舉將更有力的避免項目的安全性問題及其他潛在性風險,更好的地保護用戶利益。
幣安聯合創始人何一稱:“保護用戶利益永遠是幣安的頭等大事,我們始終會不遺餘力地保護每一位用戶的資產安全。”
作為360在數字錢包領域的首家戰略合作方,Dbank表示將和360就安全和DAPP實現場景等領域繼續展開深度合作。雙方將結合360安全大腦,深度挖掘用戶在數字錢包領域的需求,加固核心代碼,同時拓展EOS超級節點安全解決方案和區塊鏈應用落地場景。
Dbank核心安全技術由360支持,具備包括包括“手機病毒檢測”、“數字證書安全”、“虛假合約地址識別”等10層安全防護。同時有便捷的“EOS一鍵映射”功能。
就在今天,EosLaoMao宣佈,已經與北京奇虎科技有限公司(360)達成戰略合作,雙方將利用360安全大腦,攜手共同成立研發團隊,合作發展節點生態。
據悉,360安全大腦有五大核心能力:感知、學習、推理、決策、預測,主要針對網路安全維護、網絡攻擊預警抵禦、病毒木馬查殺等等。360安全大腦將為整個區塊鏈生態技術系統帶來不可小覷的實力。
EosLaoMao由區塊鏈行業知名投資人老貓發起,旨在成為EOS主網上線後的21個出塊節點之一。
閱讀更多 中國質量萬里行 的文章
