區(qū)塊鏈安全需要更多360、更多周鴻祎共同守護(hù)
5月29日,國(guó)內(nèi)安全標(biāo)桿企業(yè)360對(duì)外宣布公司Vulcan(伏爾甘)團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。
5月29日下午2點(diǎn),360創(chuàng)始人周鴻祎發(fā)布微博稱(chēng)“360安全大腦發(fā)現(xiàn)的區(qū)塊鏈漏洞,價(jià)值超過(guò)“百億美金”,如果被非法利用,可以遠(yuǎn)程攻擊控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn),嚴(yán)重情況下,EOS乃至整個(gè)虛擬貨幣市場(chǎng)都會(huì)遭遇滑鐵盧!。
一、價(jià)值超“百億美金”的區(qū)塊鏈“史詩(shī)級(jí)”漏洞
360安全團(tuán)隊(duì)對(duì)EOS漏洞描述如下:“我們發(fā)現(xiàn)了EOS區(qū)塊鏈系統(tǒng)在解析智能合約WASM文件時(shí)的一個(gè)越界寫(xiě)緩沖區(qū)溢出漏洞,并驗(yàn)證了該漏洞的完整攻擊鏈。
使用該漏洞,攻擊者可以上傳惡意的智能合約至節(jié)點(diǎn)服務(wù)器,在節(jié)點(diǎn)服務(wù)器解析惡意合約后,攻擊者就能夠在節(jié)點(diǎn)服務(wù)器上執(zhí)行任意代碼并完全控制服務(wù)器。
在控制節(jié)點(diǎn)服務(wù)器后,攻擊者可以將惡意合約打包進(jìn)新的區(qū)塊,進(jìn)而攻擊和控制其他新的節(jié)點(diǎn),最終攻擊和控制整個(gè)EOS網(wǎng)絡(luò)。”
具體的漏洞細(xì)節(jié),重現(xiàn)、執(zhí)行過(guò)程感興趣的同學(xué)可以去360衛(wèi)士官網(wǎng)查看。
用周鴻祎的話來(lái)說(shuō),“如果漏洞被人利用,可以控制EOS網(wǎng)絡(luò)里面的每一個(gè)節(jié)點(diǎn)每一個(gè)服務(wù)器,那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用,也可以接管節(jié)點(diǎn)里面所有參與的服務(wù)器。拿到服務(wù)器權(quán)限,就可以為所欲為了。如果有人做一個(gè)惡意的智能合約,就能夠把里面所有的數(shù)字貨幣直接拿走了。所以這個(gè)對(duì)于區(qū)塊鏈網(wǎng)絡(luò)來(lái)說(shuō),不會(huì)有比這個(gè)更嚴(yán)重的漏洞了。
EOS現(xiàn)在的估值至少百億美金,所以這個(gè)漏洞價(jià)值百億美金并不夸張”。
二、嚴(yán)峻的區(qū)塊鏈安全
作為今年以來(lái)最為熱門(mén)的區(qū)塊鏈項(xiàng)目,本次EOS“史詩(shī)級(jí)”漏洞的鬧出的動(dòng)靜有點(diǎn)大。一方面說(shuō)明EOS的影響力大,另一方也說(shuō)明大家對(duì)區(qū)塊鏈安全還是十分關(guān)注的。
事實(shí)上,關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問(wèn)題一直以來(lái)都是熱點(diǎn)話題。在EOS之前,區(qū)塊鏈已經(jīng)發(fā)生了多次安全事故,比如著名的The DAO事件。
The DAO之所以被攻擊,也是由于它編寫(xiě)的智能合約存在著重大缺陷。The DAO編寫(xiě)的智能合約中有一個(gè)splitDAO函數(shù),攻擊者通過(guò)此函數(shù)中的漏洞重復(fù)利用自己的DAO資產(chǎn)來(lái)不斷從TheDAO項(xiàng)目的資產(chǎn)池中分離DAO資產(chǎn)給自己。
說(shuō)起來(lái)比較繞,實(shí)際上就是The DAO的智能合約出了BUG,用戶可以不斷利用這個(gè)BUG從The DAO的資產(chǎn)池中獲取DAO資產(chǎn)。
又比如今年1月日本最大比特幣交易所之一的Coincheck新經(jīng)幣(NEM)被非法轉(zhuǎn)移至其他交易所實(shí)踐。
再比如BEC美鏈4月被黑客攻擊事件。BEC的合約代碼:Beauty Chain 美蜜出現(xiàn)嚴(yán)重bug,可以通過(guò)合約的批量轉(zhuǎn)賬的功能,無(wú)限復(fù)制token。而類(lèi)似美鏈這樣的安全問(wèn)題,有幾十個(gè)基于以太坊ERC20的數(shù)字貨幣都有出現(xiàn)這樣的問(wèn)題。
除此之外,區(qū)塊鏈自身存在的51%攻擊,秘鑰安全隱患等問(wèn)題也都時(shí)有發(fā)生。
關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問(wèn)題,每一次事故大家都會(huì)有所警醒,有所改進(jìn)。但這些警醒和改進(jìn)都是暫時(shí)的,缺乏一個(gè)長(zhǎng)期的,持續(xù)的安全管理機(jī)制。這是無(wú)法持久保證區(qū)塊鏈長(zhǎng)期安全的。
這些區(qū)塊鏈安全,本身就是一個(gè)嚴(yán)峻的問(wèn)題,也是各區(qū)塊鏈企業(yè)必須承認(rèn),面對(duì)的問(wèn)題。這對(duì)安全企業(yè)來(lái)說(shuō)其實(shí)是一個(gè)莫大的機(jī)會(huì),可惜好多人都沒(méi)抓住。
EOS“史詩(shī)級(jí)”漏洞的發(fā)現(xiàn),360再一次展示了自己在安全領(lǐng)域的技術(shù)實(shí)力,也一舉奠定了360在區(qū)塊鏈安全領(lǐng)域的領(lǐng)導(dǎo)者地位。
三、區(qū)塊鏈安全需要更多360、更多周鴻祎共同守護(hù)
周鴻祎說(shuō):區(qū)塊鏈領(lǐng)域里面,真正的安全問(wèn)題其實(shí)還沒(méi)出來(lái)。通過(guò)這次披露EOS漏洞,我們希望是讓大家能夠重視區(qū)塊鏈安全問(wèn)題。在網(wǎng)絡(luò)安全行業(yè)里,有兩種情況是最可怕的,一種是做沙漠里的鴕鳥(niǎo),知道不改,還有一種是知道了不爆出來(lái),最后被人利用,這兩個(gè)才是最可怕的。
之前何璽在文章中說(shuō)過(guò):在區(qū)塊鏈和加密貨幣越來(lái)越被大眾所熟知的當(dāng)下、將來(lái),保護(hù)用戶數(shù)字資產(chǎn)安全,保障平臺(tái)系統(tǒng)安全,都是個(gè)人用戶、區(qū)塊鏈企業(yè)、政府管理層等十分關(guān)心的問(wèn)題。
從用戶角度來(lái)說(shuō),區(qū)塊鏈技術(shù)越安全,使用起來(lái)才會(huì)越放心,加密貨幣也是一樣;從企業(yè)角度來(lái)說(shuō),區(qū)塊鏈技術(shù)安全是保障自身應(yīng)用系統(tǒng)安全、用戶數(shù)據(jù)資產(chǎn)安全的最基本要求,也是最高要求;從政府管理層面來(lái)說(shuō),保護(hù)公民合法數(shù)字資產(chǎn)安全,監(jiān)督企業(yè)安全運(yùn)營(yíng)也是基本職責(zé)。
但現(xiàn)實(shí)情況是,企業(yè)在應(yīng)用服務(wù)或交易所技術(shù)上很專(zhuān)業(yè),很厲害,但在保障應(yīng)用服務(wù)和交易所安全上卻多有欠缺。The DAO和Coincheck都是例子。前者在應(yīng)用上線部署之前沒(méi)有檢查出系統(tǒng)漏洞,才會(huì)被黑客所攻擊,后者則缺乏明確的安全保護(hù)措施,未能保護(hù)好用戶數(shù)字資產(chǎn)安全。
那么該如何解決區(qū)塊鏈技術(shù)安全問(wèn)題呢?
璽哥認(rèn)為這需要像360這樣專(zhuān)業(yè)的安全服務(wù)商來(lái)做。比如360推出的基于區(qū)塊鏈安全生態(tài)的3個(gè)系統(tǒng)。括數(shù)字貨幣錢(qián)包安全審計(jì)系統(tǒng)、區(qū)塊鏈安全態(tài)勢(shì)感知系統(tǒng)和區(qū)塊鏈節(jié)點(diǎn)安全解決方案。
這幾個(gè)系統(tǒng)也可以看做是360針對(duì)區(qū)塊鏈企業(yè)推出的安全服務(wù)套餐,各個(gè)不同區(qū)塊鏈企業(yè)可以選擇不同的服務(wù)。這對(duì)其他區(qū)塊鏈安全企業(yè)來(lái)說(shuō)也是一種啟示,區(qū)塊鏈還處于初級(jí)階段,安全市場(chǎng)也才開(kāi)始,機(jī)會(huì)還很多。
安全廠商要做的是考慮如何保障區(qū)塊鏈創(chuàng)業(yè)者的應(yīng)用安全,從應(yīng)用開(kāi)發(fā)到部署上線,再到應(yīng)用運(yùn)營(yíng)維護(hù)、監(jiān)測(cè)、預(yù)警、防御等,從多角度,全方位去保護(hù)企業(yè)應(yīng)用/平臺(tái)運(yùn)行安全,保障用戶使用安全。
區(qū)塊鏈安全的嚴(yán)峻情況,需要更多360、更多周鴻祎一起共同守護(hù)。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市