作者丨棘輪 墨菲
來源丨一本區塊鏈(ID:yibenqkl)
EOS的創世計劃,看來要推遲了。
就在今天下午,360安全衛士稱,發現了EOS的一系列高危安全漏洞,這些漏洞是“區塊鏈史詩級”的,“可完全控制虛擬貨幣交易”。
換言之,你擁有的EOS,瞬間就可能被竊取一空。
黑客小A(化名)對一本區塊鏈表示,他們很早就盯上了這個漏洞,並準備根據這個漏洞,策劃一些行動。
漏洞消息發出時,距EOS主網上線只有4天了。
輿論譁然。低迷的EOS價格再次下跌,比起4月最高時已跌去近一半。
因超級節點競選大熱的EOS,這次會遭遇冰火兩重天的命運嗎?
01 “史詩級漏洞”
21個超級節點,是EOS共識機制的基石。
區塊鏈的擁躉認為,攻破PoW需要51%的算力,攻破DPoS需要足夠多的節點。
但對於黑客而言,可能只需要一個致命的漏洞,就可以控制整個網絡。
這一次,EOS就出現了這樣的漏洞。
今天下午1點,360宣佈,發現了EOS區塊鏈上的一個史詩級漏洞,部分漏洞可以通過遠程攻擊,完全控制虛擬貨幣交易。
(360演示EOS漏洞)
這意味著,黑客可以獲得至高無上的權力——只要上傳一個具有惡意代碼的智能合約,就能獲得超級節點的控制權。
而在解析智能合約、打包區塊的過程中,其他節點也會被一併感染。最終,所有21個超級節點,甚至所有備用節點,都會被黑客控制。
“在區塊鏈歷史上,我們還沒有遇到過如此嚴重的漏洞。”360核心安全事業部研究員彭峙釀說。
360首席安全工程師鄭文彬則稱,早在5月11日,360就已發現EOS存在遠程執行代碼漏洞。
昨天下午,360驗證了這一漏洞的可操作性。昨天深夜,360將漏洞細節同步到EOS項目方。
後者很快將這一漏洞進行修復。“僅僅是一行代碼的事情。”鄭文彬稱。
(EOS開發人員在GitHub上修復了360提交的漏洞)
但這一行代碼,一旦被黑客利用,就能讓整個EOS生態,徹底毀滅。
“目前,這一漏洞僅出現在EOS上。但這並不意味著,其他區塊鏈項目不存在危險。”360安全團隊表示。
在他們看來,如今的區塊鏈安全生態,與1990年代的軟件行業頗有相似之處:一些項目團隊,完全無暇顧及安全問題。
“EOS主網將於6月2日上線,現在他們在GitHub上的更新速度極快,很容易忽視安全問題。”一位360安全團隊成員說。
由於區塊鏈技術的特殊性,牽一髮往往會動全身。項目方稍有不慎,就會埋下可以毀掉整個網絡的暗雷。
而這種暗雷,已經成為黑客攻擊的武器。
實際上,在黑產中,已經形成一個“情報嗅探組織”,他們專門去掃描各個幣和鏈的漏洞,每天24小時,不停運轉。
一旦發現漏洞,他們就會策劃完整的“盜取計劃”,狠賺一筆,美圖BEC事件就是最好案例。
黑產對數字貨幣的關注程度,超出所有人的想象。任何安全隱患,都可能導致幣價“一夜歸零”。
而這次EOS的暗雷,竟然是“一系列”。
02 輿論譁然
360發現EOS“區塊鏈史詩級漏洞”的消息,很快開始蔓延。
大佬們的回應各有不同。
李笑來在群裡表示,早就知道了這個消息,“360屬於白帽子”。
EOS創始人BM在EOS開發者群發佈消息稱,將會獎勵發現並提交Bug的人,“提供有價值的漏洞會獲得1萬美金的報酬”。
這並不是EOS第一次出現技術漏洞。
5月15日晚,以太坊創始人V神就曾指出,EOS.IO最近更新的DPoS兼拜占庭容錯機制無法保證區塊的安全。
隨後,BM還在推特上感謝V神,幫助EOS開發團隊改善DPoS BFT終版共識機制。
兩個曾經互懟的人,居然上演瞭如此和諧的一幕。
此次360文章稱,這次發現的是“一系列高危安全漏洞”,可能還會有其他的漏洞消息出現。
“這種漏洞在支持虛擬機的合約平臺上容易發生,智能合約無限的靈活性也留下了無限的隱患。 任何一個小的共識協議的疏忽,都會有機會DDoS整個區塊鏈網絡。”量子鏈創始人帥初在群裡表示,面向區塊鏈平臺的設計,複雜度很高,也隱藏著更多安全隱患。
這意味著,越是靈活的設計,越會存在未知漏洞和隱患。
對EOS此次被爆出的安全漏洞事件,有人表示理解。
“Windows面世20多年,至今還進場打補丁。” EOS聯盟吳郎在知識星球表示,這反而說明,“EOS得到了主流社區的關注”。
但也不乏技術層面的質疑之聲。
“為什麼項目方發現不了如此巨大的漏洞?”有網友提出,和宣傳推廣相比,EOS團隊似乎對技術沒有“真正的關注”。
還有人對EOS本身的DPoS模式提出質疑。
此前,三點鐘社群發起人玉紅就在數博會上表示,“EOS是全球最大的空氣幣和傳銷幣”。
“一是21個超級節點,這個設計就是非常傳銷的,因為你必須身價1個億才能玩。二是得欺騙我很多粉絲去買。三是很多的中產階級和老百姓沒有參與這個社群,這個很有問題。”玉紅如是說,並建議買了的人趕緊清倉。
陳偉星也表示,EOS堪稱區塊鏈毒瘤;毫無理想主義的炒作圈錢者,是區塊鏈共識的最大破壞者。
還有一個不容忽視的問題是,到目前為止,EOS官方的“憲法”或者“競選制度”依然未完善,EOS還面臨主網映射、分叉的難題。
這些,都迫在眉睫,卻還懸而未決。
03 歷史“黑材料”
實際上,不止EOS,其他區塊鏈項目也曾出現各種“致命”漏洞。
幾天前,教育鏈EDU、物聯網區塊鏈BAI的智能合約,被爆出存在重大漏洞。
先是EDU被爆出現重大漏洞,黑客不需私鑰,就可轉走任意賬戶的 EDU Token。
而由於合約沒有 Pause 設計,無法止損。
隨後,BAI 的智能合約也被發現類似漏洞。
漏洞爆出時,EDU與BAI已經遭遇黑客洗劫,Token被拋售,幣價應聲大跌。
其實,很多所謂漏洞,錯誤都很低級,完全可以被更正。
4月BEC(美蜜幣)遭遇黑客攻擊一事,便被幣圈視為一例。
原因是,BEC連基本的“數據溢出”檢查都沒有。
“黑客輸入了超過設定的數字,系統直接繞過了餘額檢查。”某區塊鏈技術專家對一本區塊鏈表示,攻擊者可以利用該漏洞批量轉賬。
而就是這樣一個簡單到“實習生都不會犯的漏洞”,導致57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968個BEC被轉移。
這個和美圖、蔡文勝有千絲萬縷關係、曾經暴漲53倍的代幣,在瞬間歸零。
而歷史上最大的智能合約漏洞事件,發生在2016年的THE DAO身上。
彼時,中心化自治風投基金“THE DAO”剛在一個月內募得1.5億美元的以太坊,刷新了眾籌紀錄,風頭無兩。
但很快,THE DAO智能合約設計上的漏洞被黑客利用,三分之一的以太幣被盜走。
此後,以太坊不得不“回滾”,挽回被盜走的幣。這也導致了以太坊後來的分叉。
雖然和其他合約漏洞相比,THE DAO的漏洞算得上“刁鑽”,但它依然暴露了智能合約在安全性上的缺陷。
而這種缺陷,將成為區塊鏈生態中,最不穩定的因素。
雖然區塊鏈一直叫囂著要“顛覆”古典互聯網,但和古典互聯網比起來,很多區塊鏈團隊的技術實力,仍然處於幼稚期。
“代碼即法律。”在區塊鏈時代,有人高呼這樣的口號。
但在黑客眼中,這些不成熟的代碼,已然構成了一片可隨意收割的韭菜田。
在這裡,他們找茬、掘金,從而迅速奔向財富自由。
_____________ ipfs.cn ____________
IPFS 愛好者的社區網站
將提供 IPFS 相關的最新資訊
定期推出 IPFS 的線下品牌主題活動
閱讀更多 IPFS愛好者社區 的文章
