近日,360公司Vulcan团队宣布发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。而周鸿祎则称此次发现的漏洞价值超过「百亿美金」。
在此次EOS的高危漏洞中,攻击者会构造并发布包含恶意代码的智能合约,EOS超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点被远程控制。
声音 | John McAfee:McAfeeDEX将上线TRX、EOS、BNB和NEO等代币:加密货币爱好者、杀软件之父John McAfee表示,“11月8日,McAfeeDEX将上线TRX。到2020年第一季度前,我们将上线EOS、BNB和NEO,并将有跨链,它将是币安,但是是免费的。”(Ambcrypto)[2019/11/2]
由于已经完全控制了节点的系统,攻击者可以「为所欲为」,如窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易;获取EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
动态 | EOSLaoMao发起多签提案disallownobp, v1.8 协议功能再进一程:今日,EOSLaoMao 发起多签提案 disallownobp,该提案主要是激活 EOSIO v1.8 的协议功能之一: DISALLOW_EMPTY_PRODUCER_SCHEDULE 。
当 Top 21 BPs 有变动时,BP 可以发起一个新的 BP 调度方案(Producer Schedule)以更新 Top 21 BPs。当前的主网协议允许发起的 Producer Schedule 可为空,虽然为空不会引起任何实质性的问题,但禁止为空才是最佳实践。
若该多签提案通过并执行成功后,协议便不允许发起空的Producer Schedule。
了解更多见原文链接。[2019/10/30]
更有甚者,攻击者可以将EOS网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费「矿工」,挖取其他数字货币。
花旗:美联储现在对最新通胀的反应更多,因为对自己的通胀预测没信心:10月9日消息,传统上,美联储根据对通胀的预测制定政策,而通胀的预测滞后于产出的变化。但花旗首席全球经济学家Nathan Sheets表示,官员们现在对最新通胀数据的反应更多,因为他们对自己预测通胀的能力完全没有信心。他说,他担心美联储会过度加息,但他也承认,服务业的通胀“相当令人担忧”。一个风险是,经济活动大幅放缓,但会以比通常更长时间的延迟传导至通胀指标。例如,近几个月来二手车批发价格一直在下降,但这尚未在价格指数中得到广泛体现。房价和房租的计算方法尤其落后。Sheets表示,在放缓加息之前等待通胀下降的证据,意味着货币政策可能会“被未来几个月极有可能逆转的事情所挟持”。(金十)[2022/10/9 12:49:56]
360首席安全工程师郑文彬回应:
5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。
比原链创始人段新星表示,本次事件是一个利用数组越界漏洞可导致内存溢出的问题,获得超级权限覆盖掉WASM填写新的可执行代码进去,然后进行恶意操作。这种漏洞很常见,并不能成为史诗级的漏洞。BM第一次是加了Assert判定检查,其实也可以包一个安全函数来操作。
比原链首席架构师James指出,EOS想做分布式服务就意味着它会面临相对于比特币更多的问题和挑战。类似于EOS这种不收gas的机制,以后也许还会遇到很多复杂的问题。相对而言,有些方面比原虚拟机有收gas机制就不会碰到,搞溢出会直接因为内存使用收gas导致虚拟机报错退出。比原链与EOS一样都是做底层公链技术,都是在慢慢摸索前进方向,不断的修正错误,逐步成长起来。
截止事件结束,据EOS官方消息人士称:BM已经修复了这个漏洞。
链闻ChainNews:提供每日不可或缺的区块链新闻。
原文作者:比原链链闻编译:YY版权声明:文章为作者独立观点,不代表链闻ChainNews立场。
来源链接:www.8btc.com
本文来源于非小号媒体平台:
链闻速递
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3626841.html
EOS柚子漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
BM谴责360制造恐慌,「史诗级漏洞」还是「史诗级营销」?
下一篇:
360高调进军区块链,「史诗级漏洞」还是「史诗级营销」?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。