社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  区块链

红衣大炮瞄准区块链

中国企业家杂志 • 8 年前 • 883 次点击  

周鸿祎。摄影:邓攀


不管这是否是一场蓄谋已久的PR, 都给币圈的安全漏洞问题敲响了警钟。

/

文 | 《中国企业家》记者 李碧雯

编辑 | 米娜


因超级节点竞选而在近期大热的全球第五大数字货币EOS却在官网即将上线的关键时候遭遇了安全危机。


5月29日,360安全团队发表了一篇名为“360发现区块链史诗级漏洞可完全控制虚拟货币交易 ”的文章,360董事长周鸿祎评价该漏洞为“史诗级、价值百万美元”,由此引发市场恐慌,5月29日EOS价格一度下跌幅度达10%。


很快,EOS创始人BM在telegram群中回复称,360报告中提到的漏洞早已被修复,且早于360发布报告的时间,BM认为360在故意制造市场恐慌,并进一步强调EOS主网上线前不会有重大BUG。


因BM宣布该漏洞早已被EOS修复。随后EOS币价格反弹,截止5月31日上午10点 ,在火币交易所,EOS|USDT价格约为78.6元。截至5月29日,EOS市值已达121.3亿美元。6月2日,EOS即将主网上线,在这个关键时点,360高调对EOS出手究竟想干什么?


“红衣教主”进军区块链


在发布漏洞的当天,360陆续与EosLaoMao、OracleChain、数字钱包Dbank、币安等机构达成战略合作,合作对象覆盖数字货币交易所、节点、数字货币钱包等各种场景。EosLaoMao、OracleChain都是此次EOS超级节点的参与方,Dbank是360在区块链领域第一个试水的产品,主要是基于360技术的数字资产管理平台。


第二天,即5月30日,周鸿祎又高调的参加了自媒体火星财经的《王峰十问》。


在业内人士看来,这是一场蓄谋已久的PR,“发现漏洞后立刻对外宣传,且恰好风险在EOS的关键时间点,时间点太巧,让人不禁遐想。”一位区块链安全领域人士这样认为,不过在与火星财经的对话中,周鸿祎否认了这一说法。


但是至少有一点可以肯定,红衣教主通过此役开始正式进军区块链安全领域了。


周鸿祎声称接触区块链是从年前开始的,混迹于三点钟区块链群,但很少见其在群里发声,更多时候他是一个学习者和观察者的角色。


而如今,360表示将进军区块链安全领域。“我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。”


周鸿祎介绍称,网络安全的影响已经从最初简单的信息安全,演变到从线上到线下都会受到网络攻击的威胁,并且新威胁越来越多。


其表示未来360将围绕区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。


区块链安全领域中既包含传统的互联网安全服务部分,比如交易所,也包括新增的智能合约部分。


在专注于网络信息安全问题的白帽汇创始人兼CEO赵武看来,目前的链上出现的安全问题主要是智能合约的问题,谁拥有智能合约的原创漏洞,谁就有强大的竞争力。


“大部分的企业都是跟风,没有研究核心漏洞的能力。这次360展现的能力就是利用智能合约的虚拟机机制下的漏洞完成控制,之前出现的一系列问题比如BEC的整型溢出导致的直接清零,考究的是安全团队的漏洞挖掘能力。”赵武表示。


360的股价也随着这两天的舆论遭遇了波动,在5月29日小幅上涨2.9%后,次日再下跌3.27%,截止5月30日,三六零股价收于33.68元/股。


被忽视的区块链安全


5月29日,360召开了关于发现EOS漏洞的新闻媒体沟通会,同时在360安全官方微博宣称,旗下的Vulcan 团队发现区块链平台EOS的系列高危安全漏洞,其中部分漏洞可以在EOS节点上远程执行任意代码,直接控制和接管远程EOS上运行的所有节点。


“如果漏洞被人利用,可以控制EOS网络里面的每一个节点、每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器,拿到服务器权限,就可以为所欲为了。”周鸿祎在接受媒体采访时表示,“EOS现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。” 360Vulcan 团队在5月11日发现了该漏洞,并于5月28日完成了利用该漏洞控制EOS网络的演示,同时联系EOS方面反馈该漏洞,5月29日凌晨两点EOS团队将漏洞进行了修复。


值得注意的是,360对外发布的EOS高危漏洞的时间恰好临近EOS上线节点。6月2日,EOS主网将上线,EOS Token将基于自身公有链运行,EOS被视为是继比特币、以太坊后第三代区块链产品。根据链塔智库的报告,在今年五月中旬以来,加密数字货币市场大跌,四个主流币中,EOS跌幅最大,将近30%。该漏洞被360爆出后,EOS价格出现短暂下跌,随后反弹。


赵武对此分析称,目前爆出的该漏洞为平台级的,属于高危漏洞。在白帽汇最近发布的区块链安全研究报告中,将区块链攻击事件包括共识机制、智能合约、交易平台、用户自身四个方面。360此次发现的EOS漏洞属于智能合约中的合约虚拟机的逃逸漏洞。


据了解,智能合约通常都是一个虚拟机的形式运行的,而逃逸漏洞可以利用虚拟机的漏洞进行到真实主机的穿越。“区块链领域这是第一例虚拟机逃逸案例,但是在传统安全领域对应虚拟机逃逸的案例非常多。”


在赵武看来,这通常是由于没有投入足够的安全测试造成的。


实际上,区块链安全问题频发。4月,因数据溢出漏洞导致BEC被大量抛售市值归零,更早之前世界第二大数字货币交易所币安发生账户被盗事件,以及日本第二大交易所Coincheck的价值5亿美元新经币失窃,使得整个数字货币交易市场弥漫着恐慌与不安情绪。


据区块链安全研究报告统计,80%的攻击损失来自于业务层面的攻击,其损失额度从2017年开始呈现指数上升趋势,截止2018年3月31日,已披露的安全事件造成损失达8.1亿美元。


“钱多,漏洞多,管控少这是根本原因,参与的人一多,问题就凸显了。未来区块链安全事件一定会持续的爆发一段时间,随着安全标准和要求的逐步完善,以及链圈自身会加强安全审计和评估工作,漏洞会得到一定的控制。最终会跟目前的网络安全形势一样,依旧严峻,但是相对可控。”赵武告诉《中国企业家》。


值班编辑:武昭含

审校:耿黎明


广告


今天看啥 - 高品质阅读平台
本文地址:http://www.jintiankansha.me/t/6dVFGi6FTl
Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/12829