多位技術大咖點評EOS安全漏洞

文/嚴茹霞

5月29日，360官方發布關於發現區塊鏈平台EOS的一系列高危安全漏洞相關事件，360公司Vulcan（伏爾甘）團隊表示，發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網路負責人表示，在修復這些問題之前，不會將EOS網路正式上線。

消息一出，根據火幣Pro數據顯示，EOS價格跳水，一小時之內下跌6.65%。

奇虎360稱發現EOS安全大漏洞，EOS回應已經處理

金色財經就事件細節向360方面求證了解到，28日下午1時，360方面完成了利用漏洞控制整個EOS網路的演示；28日晚間10時左右，360聯繫到了EOS官方反饋此漏洞；29日凌晨得到EOS回復稱，不要公開漏洞細節，EOS網路正在修復。29日凌晨2點左右，EOS已經處理。

360技術部門負責人對金色財經表示：」這件事情本身是一個很嚴重的問題，但修復起來並不困難，應該不會對主網上線造成重大的影響，因為EOS在此之前一直在不斷的修復漏洞。「

金色財經第一時間就此事聯繫EOS並獨家獲悉，EOS已將此事移交給律師團隊處理，官方未承諾過主網上線時間。

針對區塊鏈平台EOS漏洞事件，金色財經獨家採訪了底層鏈技術研發團隊，並且時刻關注關於此事件的相關信息，下面看看這些技術大佬們如何看待EOS漏洞事件。

Zilliqa CEO Xinshu Dong：談EOS漏洞看法

金色財經獨家採訪Zilliqa CEO Xinshu Dong，他表示：「360公有鏈出現安全漏洞大家都很關心，因為區塊鏈本身的不可逆性和多中心化。一旦出現漏洞，中心化的系統可以快速修復，但是多中心化的系統需要投票分叉解決，經常錯過最好的修復時機。但這次也是給整個區塊鏈領域一個很好的提醒。區塊鏈安全是多方面的，包括協議層的抗攻擊，智能合約語言層的可驗證，當然也包括對智能合約運行時的基本的隔離。其實這些都是在安全研究領域眾所周知的機制，但是需要區塊鏈項目都把這些都設計好、實現好。面對這樣的挑戰，大家需要共同努力。」

NULS聯合發起人冉小波：漏洞很正常，開發者需要萬分的小心

金色財經獨家採訪NULS聯合發起人冉小波，對於此次漏洞事件，NULS聯合發起人冉小波表示：「EOS有漏洞是很正常的，每一個區塊鏈項目都要經歷無數的BUG修復過程，在區塊鏈的世界裡，這些都與經濟是緊密結合的，因此開發者要萬分小心，要對代碼進行多次review。EOS在主網上線之前發現漏洞其實是萬幸，如果在主網啟動之後出現這種情況，可能只能用硬分叉的方式來解決了，而這又可能會造成社區的分裂。」

慢霧科技：此次EOS漏洞是真實存在的並且可信度非常高

金色財經獨家採訪慢霧科技，慢霧科技表示：「這個漏洞本身是存在的並且可信度非常高，而且是可以直接拿到EOS超級節點伺服器的許可權，360所描述的史詩級漏洞，這種表述不過分。360沒有披露漏洞細節是可以理解的，此次漏洞是在EOS網路上發布的惡意智能合約，該智能合約可以同步到區塊鏈網路上，每個超級節點都會同步。這個惡意的智能合約會導致合約的虛擬機被穿透，打穿虛擬機到伺服器，從而控制伺服器。EOS 超級節點攻擊有幾個入口P2P 埠、RPC 埠、惡意智能合約、伺服器與集群等其他缺陷、人員安全缺陷。此次漏洞是第三點從智能合約對區塊鏈網路進行的攻擊。」

IPFS佈道者董天一：只要是代碼，就可能有bug的存在

金色財經獨家採訪IPFS佈道者董天一，他表示，「從技術層面來講，只要是代碼，就可能有bug的存在。這和項目複雜程度，寫代碼人員的素質，項目管理能力都有關係。而且很難避免，歷史有很多類似的經典案例。例如，日本瑞穗與東京證交所當年的烏龍事件，因為bug問題導致400億日元（按當時匯率約合人民幣27億）的損失。EOS的事情不是第一次，也不會是最後一次，區塊鏈領域高度依賴計算機代碼，以後更應該提高重視，加強工程管理能力和程序員的編碼能力。儘可能減少類似的事情發生。」

NewsChain傳播鏈聯合創始人熊振：區塊鏈系統中智能合約是最容易受到攻擊的部分

金色財經獨家採訪NewsChain傳播鏈聯合創始人熊振，他表示，「從以太坊的ERC20代幣合約漏洞到EOS的智能合約漏洞，在區塊鏈系統中智能合約是最容易受到攻擊的部分。由於採用DPOS共識機制的區塊鏈節點較少，更容易進行更新，所以只要能及早發現問題並進行修復，就可以把危害將至最低。在這點上採用DPOS共識機制的區塊鏈具有天然的優勢。」

奇虎360首席安全工程師鄭文彬：沒有做空，沒有操作

金色財經現場報道，在今日的360媒體見面會上，針對360公司發布EOS安全漏洞事件，360首席安全工程師鄭文彬回應：「5月28日12點把漏洞提交給BM，BM凌晨完成了部分修復。目前這個漏洞僅僅是EOS網路的漏洞，但這是在智能合約虛擬機中發現的新型安全漏洞，是前所未有的安全風險。」

他還表示：「雖然散戶不會運行全節點，但如果EOS漏洞進行攻擊，散戶可能受到多方面的威脅，丟幣也是可能的。」

現場有人提出360借EOS漏洞做空的質疑，奇虎360首席安全工程師鄭文彬回應稱，「沒有做空，沒有操作。主節點上線之後再做空可能會更好，所以本著360安全的工作，這是我們的素養，沒有做空的想法。」

360安全專家高雪峰：360能夠將數字貨幣異常的交易都感知出來

金色財經現場報道，在今日的360媒體見面會上，360官方人員高雪峰表示，「如何利用安全優勢切入區塊鏈領域，區塊鏈不是新的技術而是把很多原有的技術做結合，傳統的領域遇到的問題在區塊鏈領域都會遇到，只是EOS關注人數足夠多所以會引起重視。從360角度，也就是站在安全守衛者的角度出發，依託於360的安全代碼，360把數字貨幣異常的交易等都能感知出來。漏洞攻擊的角度來說，能夠發現問題，使用防禦手段，就能使得區塊鏈行業中涉及到的智能合約的更安全。這也是360的初衷。」

量子鏈帥初：這種漏洞在支持虛擬機的合約平台上容易發生

量子鏈帥初朋友圈回應對EOS漏洞的看法：「1、這種漏洞在支持虛擬機的合約平台上容易發生，智能合約無限的靈活性也留下了無限的隱患，任何一個小的共識協議的疏忽，都會有機會DDoS整個區塊鏈網路； 2、面向貨幣的設計，比特幣做的不多不少，剛好合適；3 、ETH和EOS，都不是面向貨幣的設計，面向區塊鏈平台的設計，複雜度很高，也蘊含更多安全隱患； 4、之前unlimited btc，也是因為一個共識bug，網路就會被ddos癱瘓；5、應該和webassembly新的虛擬機和無gas模型有關，遠程代碼被vm編譯後，被無限執行。」

魚池創始人神魚發朋友圈回應對EOS漏洞看法

魚池創始人神魚發朋友圈回應對EOS漏洞看法：「在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程控制。」

陳偉星：EOS堪稱區塊鏈毒瘤，共識最大破壞者

陳偉星發布朋友圈回應了對EOS漏洞的看法，他表示：「EOS堪稱區塊鏈毒瘤，毫無理想主義的極致炒作圈錢者，區塊鏈共識的最大破壞者。1、募集近30億美元，完全不知去向；2、ICO一年365天，不知投向與目的；3、DPOS過度中心化，技術漏洞百出與過度包裝；4、絕大部分炒幣與所謂超級節點來自國內，而超級節點本質是一群利益共同體的炒作；總之一個花幾千萬人民幣就能搞定的技術真的有必要讓大家炒的那麼歡。

Oracle Chain CEO 老狼：EOS不會歸零

Oracle Chain CEO 老狼回應對EOS漏洞看法，對此，Oracle Chain CEO 老狼表示：「EOS不會歸零。360以如此的時機和態度介入EOS的漏洞公布和修復是一個非常中立和客觀的安全公司的態度，也能看出360團隊是非常專業的白帽子團隊。首先漏洞在EOS正式上線前公布，避免了EOS上線後被0day攻擊的可能。可以設想，如果這個漏洞被其他的黑客首先發現或者利用，會對整個項目產生不可挽回的破壞。在EOS官方尚未對該漏洞進行恢復前，360並未公布太多該漏洞的細節，也避免了這一漏洞被惡意利用的可能。目前360這樣巨大體量的安全公司開始以公益性的方式接入到EOS等公鏈項目，正標誌著傳統互聯網的安全技術公司開始重視並介入到區塊鏈領域。這對於未來區塊鏈尤其是公鏈項目的安全會是一個長久的利好。」

-END-

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！