起於玉紅放言“空氣幣”,爆於360公佈“史詩級漏洞”,EOS陷入的這場輿論風暴很難讓人不“陰謀論”,畢竟距離6月2日其主網上線沒幾天了。
EOS此次被爆出的安全漏洞究竟是否如周鴻禕所言,黑客可以為所欲為?曲速未來創始人&CEO侯欣傑在接受節點財經專訪時給出的答案是:沒那麼誇張。
侯欣傑於2007年加入阿里集團安全中心成為第4號員工,也是阿里雲創始成員;他設計了阿里集團第一套白盒代碼審計系統,並曾多年擔任阿里雲計算安全風控反欺詐技術負責人——該安全體系承載著每年天貓雙11活動的數百億訪問風控安全對抗。
我們先來回顧此次“EOS漏洞”事件始末。(瞭解的可自行跳過)
5月25日,360發佈區塊鏈安全態勢感知系統,正式涉足區塊鏈安全領域,並連續發佈多條加密貨幣錢包、區塊鏈項目漏洞,以及釣魚與空投騙術的信息。
5月28日,3點鐘社群發起人玉紅在2018中國國際大數據產業博覽會上表示:EOS是全球最大的的空氣幣和傳銷幣。
5月29日,360稱其Vulcan(伏爾甘)團隊發現了EOS一系列高危安全漏洞,其中部分漏洞可在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。當天,360董事長周鴻禕微博表示,他們發現的EOS漏洞價值超“百億美金”。
5月30日,BM在EOS開發者電報群中表示,bug在被公佈前就已修復,但(被360)過度誇大。當天,周鴻禕答王峰十問,稱EOS漏洞為史詩級漏洞,“於區塊鏈網絡來說,不會有比這個更嚴重的漏洞了”。
是玉紅給自己發起孵化的XMX吸粉,還是360為自家的區塊鏈安全業務造勢?是周鴻禕違背道義還是BM人品惡劣?各路人士眾說紛紜。
DFUND創始人趙東在朋友圈直言不諱:不管360什麼目的(我們不要懷疑別人做事的動機),我至少確定一點:根據gitHub代碼提交時間可知,BUG修復在360向BM彙報BUG之後而非之前。BM在睜著眼睛說瞎話,人品極其不可靠。
侯欣傑則認為,黑客要想利用該漏洞盜取EOS,在實操層面並沒有周鴻禕所說的那麼容易。
EOS存在“史詩級漏洞”會被全部盜走?
侯欣傑:沒那麼誇張
在昨日答王峰十問時,周鴻禕解釋了360所爆EOS的安全漏洞到底有多嚴重:如果漏洞被人利用,(黑客)可以控制EOS網絡裡面的每一個節點每一個服務器,那就不僅僅是接管網絡裡面的虛擬貨幣、各種交易和應用,也可以接管節點裡面所有參與的服務器。(黑客)拿到服務器權限,就可以為所欲為了。如果有人做一個惡意的智能合約,就能夠把裡面所有的數字貨幣直接拿走了。所以這個對於區塊鏈網絡來說,不會有比這個更嚴重的漏洞了。
在侯欣傑看來,這的確是個安全漏洞,但其實沒有周鴻禕所說的“史詩級”那麼嚴重:黑客想要通過此次爆料的漏洞獲取用戶數字貨幣,起碼在EOS啟動回滾之前,沒有足夠時間完成操作。
“首先,EOS有21個節點與若干備選節點,而要發生周鴻禕所說的後果,(黑客)首先需要提交一個攻擊合約,然後讓其中一個節點運行這個合約,只有在節點運行這個合約的時候才能被攻擊,也就是說每次攻擊只能控制1個節點。這意味著,要盜走數字貨幣,必須讓所有節點全部運行這個攻擊合約,而現實往往會這一次攻擊時可能是A節點運行該攻擊合約,被控制了,下一次該節點可能就變成備選了,那對應的這次攻擊也就無效了,而且還要保障在此期間不被發現。要知道,合約和區塊數據都是公開的,僅在眾目睽睽之下攻擊別人不被發現這一點就極其難實現。此前BEC合約出現安全漏洞,在短短20分鐘內就被歸零了,就是因為被發現了。
其次,並不是控制了所有的節點就能為所欲為,因為節點只負責產生區塊,而維護區塊鏈安全運行是由整個網絡完成的,也就是說如果出現一個不合法的區塊想要欺騙整個區塊鏈網絡,幾乎不可能;目前區塊的數據都是基於hash和數字簽名的方式,控制了節點不代表就能修改裡面的數據,包括給自己增加coin,偷別人的coin等等操作,因為要偷別人錢包裡面的錢得必須要有鑰匙,節點是沒有鑰匙的。
第三,假如前面所有攻擊都順利完成了,攻擊者通過此漏洞給自己錢包增加了EOS,但是他需要通過交易所來實現快速套現。攻擊者必須先把自己的EOS從錢包轉入交易所,通過交易所的交易來轉移資產,而交易所本身對風險交易是有風控的(曲速未來已與多家知名交易所逐步展開合作中),超大額交易是會被監控的。比如幣安之前的問題,就是攻擊者操控了多個賬戶做惡意交易,也就是說前提是攻擊者需要準備足夠多的小號。曲速未來會與交易所合作提供同人同機識別服務,能夠檢測出惡意交易。在惡意交易完成之前,交易所有能力凍結風險賬戶,包括提幣提現操作,回滾交易等等都足以讓攻擊無效,BEC就是很好的例子。
簡單來說,想要利用此次漏洞盜取EOS,要繞過以上制約而且必須要在20分鐘乃至更短時間內完成以上所有操作。”
如何看待360官方公開EOS安全漏洞?
侯欣傑:EOS可以送一封律師函
“大家從我們披露漏洞的時間其實應該就能知道我們肯定不是在做空。假如我真想惡意做空的話,完全可以捂著,等EOS主網上線,直接爆出來……”周鴻禕認為,360此次做法只是因為“希望EOS乃至整個區塊鏈行業發展的更好”。
聽起來沒毛病。不過侯欣傑不以為然。
“首先,他們一定是有借勢的意圖,當然這完全可以理解。除此之外,在我們安全行業,給其它企業提交安全漏洞確實是好事,但不代表只要跟企業通知了對方,不等對方同意就可以擅自發表官方通告了。此次360只是說‘通知了EOS方’,但是並沒有向BM提及會在官方發佈漏洞公告並獲取對方同意,這是其一;
其次,在EOS尚未完全修復該漏洞時就將安全漏洞對外大肆宣揚,此舉有打著為行業安全做貢獻的名頭給EOS增加困擾,提升自己知名度的嫌疑。若換成被爆漏洞一方是銀行或支付寶,不等對方修復就公佈,難道是想讓更多的不法分子攻擊他們,導致更大的損失?
再次,就算是在漏洞修復完成之後公開,對方是否願意公開,如何公開,公開哪些內容其實都是需要做更深入的溝通確認的,而不是先斬後奏,這屬於職業操守與職業道德範疇。
我個人認為, EOS完全可以給360一封律師函。”
有智能合約主鏈都會受到類似威脅?
侯欣傑:需逐步完善,不該一棍子打死
混圈的人都知道,不只是EOS,之前以太坊也有過幾次嚴重的安全事件:2016年6月17日,眾籌項目TheDAO遭到攻擊,致300多萬以太幣資產被分離出資產池;2017年7月21日,智能合約編碼公司Parity有 15萬以太幣被盜;此前BEC被巨量增發拋售清零。
以EOS與以太坊如此之大的體量竟漏洞頻發,是不是證明凡是有智能合約的主鏈都會受到類似EOS的安全威脅?
“一方面,智能合約層面的安全問題跟主鏈本身沒有直接關係,而且會存在優勝劣汰的競爭法則,只有技術強大的才會留下來。”侯欣傑認為,“另一方面,與以太坊和EOS比起來,比特幣更安全其實是因為它的功能非常簡單,就是記賬,說以前兩者的安全問題更多,是因為功能更多,自然坑就越大,這需要一個逐步完善的過程,不應該一棍子打死。”
區塊鏈安全呈現怎樣的生態格局?
侯欣傑:未來會分為主鏈、應用、業務三大層面
正如周鴻禕所說,如今的網絡安全正從最初簡單的信息安全,演變成線上線下都會受到網絡攻擊的威脅,並且新威脅越來越多,比如區塊鏈正面臨的安全威脅。
區塊鏈的火熱正帶動與之密切相關的新的生態格局逐步形成。侯欣傑認為,接下來區塊鏈安全將分為三個層面:
首先是為做主鏈(無論公鏈還是聯盟鏈)的團隊,在主機、網絡、激勵機制等方面提供安全服務的企業。隨著區塊鏈相關技術的不斷髮展,過去傳統的安全產品或服務可能會被淘汰,比如防火牆,“可能賣給銀行,現在它不可能賣給每個礦工”。
其次是針對鏈上的具體應用提供安全服務的企業。當主鏈可以跑王者榮耀之類的遊戲,區塊鏈勢必呈現出新的格局,而隨著應用功能的日益豐富,安全問題也會越來越多。
第三個層面是基於區塊鏈業務層面的安全服務商。比如現在項目方會在社群中發放糖果,可能會牽扯到反作弊、防欺詐、內容的安全需求。
關於曲速未來:
曲速未來人工智能技術(廣州)有限公司是領先的安全技術驅動企業,利用人工智能安全技術服務區塊鏈、物聯網及互聯網行業,是一家集研發、銷售、服務於一體的涉及區塊鏈安全、交易所安全、Token錢包安全、AI安全與物聯網雲安全技術提供商。公司創始核心團隊來自於阿里巴巴集團安全中心、螞蟻金服安全中心、阿里云云盾、啟明星辰、網易易盾、匯豐銀行等知名企業。CEO侯欣傑及核心團隊任職阿里期間,曾發明國內與歐洲與北美的多項AI安全識別專利。
區塊鏈安全層面,曲速未來根據BC私有鏈、聯盟鏈、幣圈C2C交易、代幣交易所、Token冷熱錢包、ETH智能合約等當下面臨的威脅(合約邏輯漏洞、代碼漏洞、釣魚攻擊、賬戶破解、異常交易、批量錢包修改、跨平臺對沖套利,批量盜號、冷錢包固件密鑰調試、批量修改錢包地址、自動化交易風險,礦機被盜用、賬戶洩密、黃牛囤貨高額倒賣,營銷環節被羊毛黨薅糖果薅虛擬幣,數字錢包密碼系統安全性不足等等),通過UEBA同人\同機\人機防護、多環境代碼審計支持、AI風險態勢感知、終端網絡空間雷達、終端風險威脅探測、動態數列路徑、人機數字地理圍欄、語義網絡知識圖譜、風險安全畫像自組織等多種技術進行強人工智能對抗,最終保障區塊鏈安全發展。
閱讀更多 節點財經 的文章
