每日最新頭條.有趣資訊

紅衣大炮瞄準區塊鏈

周鴻禕。攝影:鄧攀

不管這是否是一場蓄謀已久的PR, 都給幣圈的安全漏洞問題敲響了警鍾。

/

文 |《中國企業家》記者 李碧雯

編輯 |米娜

因超級節點競選而在近期大熱的全球第五大數字貨幣EOS卻在官網即將上線的關鍵時候遭遇了安全危機。

5月29日,360安全團隊發表了一篇名為“360發現區塊鏈史詩級漏洞可完全控制虛擬貨幣交易 ”的文章,360董事長周鴻禕評價該漏洞為“史詩級、價值百萬美元”,由此引發市場恐慌,5月29日EOS價格一度下跌幅度達10%。

很快,EOS創始人BM在telegram群中回復稱,360報告中提到的漏洞早已被修複,且早於360發布報告的時間,BM認為360在故意製造市場恐慌,並進一步強調EOS主網上線前不會有重大BUG。

因BM宣布該漏洞早已被EOS修複。隨後EOS幣價格反彈,截止5月31日上午10點 ,在火幣交易所,EOS|USDT價格約為78.6元。截至5月29日,EOS市值已達121.3億美元。6月2日,EOS即將主網上線,在這個關鍵時點,360高調對EOS出手究竟想幹什麽?

“紅衣教主”進軍區塊鏈

在發布漏洞的當天,360陸續與EosLaoMao、OracleChain、數字錢包Dbank、幣安等機構達成戰略合作,合作對象覆蓋數字貨幣交易所、節點、數字貨幣錢包等各種場景。EosLaoMao、OracleChain都是此次EOS超級節點的參與方,Dbank是360在區塊鏈領域第一個試水的產品,主要是基於360技術的數字資產管理平台。

第二天,即5月30日,周鴻禕又高調的參加了自媒體火星財經的《王峰十問》。

在業內人士看來,這是一場蓄謀已久的PR,“發現漏洞後立刻對外宣傳,且恰好風險在EOS的關鍵時間點,時間點太巧,讓人不禁遐想。”一位區塊鏈安全領域人士這樣認為,不過在與火星財經的對話中,周鴻禕否認了這一說法。

但是至少有一點可以肯定,紅衣教主通過此役開始正式進軍區塊鏈安全領域了。

周鴻禕聲稱接觸區塊鏈是從年前開始的,混跡於三點鍾區塊鏈群,但很少見其在群裡發聲,更多時候他是一個學習者和觀察者的角色。

而如今,360表示將進軍區塊鏈安全領域。“我希望大家記住,EOS這個漏洞,不是最後一個,也一定不是最厲害的一個。”

周鴻禕介紹稱,網絡安全的影響已經從最初簡單的資訊安全,演變到從線上到線下都會受到網絡攻擊的威脅,並且新威脅越來越多。

其表示未來360將圍繞區塊鏈安全生態推出三個系統,主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。

區塊鏈安全領域中既包含傳統的互聯網安全服務部分,比如交易所,也包括新增的智能合約部分。

在專注於網絡資訊安全問題的白帽匯創始人兼CEO趙武看來,目前的鏈上出現的安全問題主要是智能合約的問題,誰擁有智能合約的原創漏洞,誰就有強大的競爭力。

“大部分的企業都是跟風,沒有研究核心漏洞的能力。這次360展現的能力就是利用智能合約的虛擬機機制下的漏洞完成控制,之前出現的一系列問題比如BEC的整型溢出導致的直接清零,考究的是安全團隊的漏洞挖掘能力。”趙武表示。

360的股價也隨著這兩天的輿論遭遇了波動,在5月29日小幅上漲2.9%後,次日再下跌3.27%,截止5月30日,三六零股價收於33.68元/股。

被忽視的區塊鏈安全

5月29日,360召開了關於發現EOS漏洞的新聞媒體溝通會,同時在360安全官方微博宣稱,旗下的Vulcan 團隊發現區塊鏈平台EOS的系列高危安全漏洞,其中部分漏洞可以在EOS節點上遠程執行任意代碼,直接控制和接管遠程EOS上運行的所有節點。

“如果漏洞被人利用,可以控制EOS網絡裡面的每一個節點、每一個伺服器,那就不僅僅是接管網絡裡面的虛擬貨幣、各種交易和應用,也可以接管節點裡面所有參與的伺服器,拿到伺服器權限,就可以為所欲為了。”周鴻禕在接受媒體採訪時表示,“EOS現在的估值至少百億美金了,所以我覺得這個漏洞價值百億美金並不誇張。” 360Vulcan 團隊在5月11日發現了該漏洞,並於5月28日完成了利用該漏洞控制EOS網絡的演示,同時聯繫EOS方面反饋該漏洞,5月29日凌晨兩點EOS團隊將漏洞進行了修複。

值得注意的是,360對外發布的EOS高危漏洞的時間恰好臨近EOS上線節點。6月2日,EOS主網將上線,EOS Token將基於自身公有鏈運行,EOS被視為是繼比特幣、以太坊後第三代區塊鏈產品。根據鏈塔智庫的報告,在今年五月中旬以來,加密數字貨幣市場大跌,四個主流幣中,EOS跌幅最大,將近30%。該漏洞被360爆出後,EOS價格出現短暫下跌,隨後反彈。

趙武對此分析稱,目前爆出的該漏洞為平台級的,屬於高危漏洞。在白帽匯最近發布的區塊鏈安全研究報告中,將區塊鏈攻擊事件包括共識機制、智能合約、交易平台、用戶自身四個方面。360此次發現的EOS漏洞屬於智能合約中的合約虛擬機的逃逸漏洞。

據了解,智能合約通常都是一個虛擬機的形式運行的,而逃逸漏洞可以利用虛擬機的漏洞進行到真實主機的穿越。“區塊鏈領域這是第一例虛擬機逃逸案例,但是在傳統安全領域對應虛擬機逃逸的案例非常多。”

在趙武看來,這通常是由於沒有投入足夠的安全測試造成的。

實際上,區塊鏈安全問題頻發。4月,因數據溢出漏洞導致BEC被大量拋售市值歸零,更早之前世界第二大數字貨幣交易所幣安發生账戶被盜事件,以及日本第二大交易所Coincheck的價值5億美元新經幣失竊,使得整個數字貨幣交易市場彌漫著恐慌與不安情緒。

據區塊鏈安全研究報告統計,80%的攻擊損失來自於業務層面的攻擊,其損失額度從2017年開始呈現指數上升趨勢,截止2018年3月31日,已披露的安全事件造成損失達8.1億美元。

“錢多,漏洞多,管控少這是根本原因,參與的人一多,問題就凸顯了。未來區塊鏈安全事件一定會持續的爆發一段時間,隨著安全標準和要求的逐步完善,以及鏈圈自身會加強安全審計和評估工作,漏洞會得到一定的控制。最終會跟目前的網絡安全形勢一樣,依舊嚴峻,但是相對可控。”趙武告訴《中國企業家》。

值班編輯:武昭含

審校:耿黎明

廣告

獲得更多的PTT最新消息
按讚加入粉絲團