5月29日,国内安全标杆企业360对外宣布公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。
5月29日下午2点,360创始人周鸿祎发布微博称“360安全大脑发现的区块链漏洞,价值超过“百亿美金”,如果被非法利用,可以远程攻击控制和接管EOS上运行的所有节点,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。”。
一、价值超“百亿美金”的区块链“史诗级”漏洞
360安全团队对EOS漏洞描述如下:“我们发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞,并验证了该漏洞的完整攻击链。
使用该漏洞,攻击者可以上传恶意的智能合约至节点服务器,在节点服务器解析恶意合约后,攻击者就能够在节点服务器上执行任意代码并完全控制服务器。
在控制节点服务器后,攻击者可以将恶意合约打包进新的区块,进而攻击和控制其他新的节点,最终攻击和控制整个EOS网络。”
具体的漏洞细节,重现、执行过程感兴趣的同学可以去360卫士官网查看。
用周鸿祎的话来说,“如果漏洞被人利用,可以控制EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。
EOS现在的估值至少百亿美金,所以这个漏洞价值百亿美金并不夸张”。
二、严峻的区块链安全
作为今年以来最为热门的区块链项目,本次EOS“史诗级”漏洞的闹出的动静有点大。一方面说明EOS的影响力大,另一方也说明大家对区块链安全还是十分关注的。
事实上,关于区块链、加密数字货币的安全问题一直以来都是热点话题。在EOS之前,区块链已经发生了多次安全事故,比如著名的The DAO事件。
The DAO之所以被攻击,也是由于它编写的智能合约存在着重大缺陷。The DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。
说起来比较绕,实际上就是The DAO的智能合约出了BUG,用户可以不断利用这个BUG从The DAO的资产池中获取DAO资产。
又比如今年1月日本最大比特币交易所之一的Coincheck新经币(NEM)被非法转移至其他交易所实践。
再比如BEC美链4月被黑客攻击事件。BEC的合约代码:Beauty Chain 美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题。
除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。
关于区块链、加密数字货币的安全问题,每一次事故大家都会有所警醒,有所改进。但这些警醒和改进都是暂时的,缺乏一个长期的,持续的安全管理机制。这是无法持久保证区块链长期安全的。
这些区块链安全,本身就是一个严峻的问题,也是各区块链企业必须承认,面对的问题。这对安全企业来说其实是一个莫大的机会,可惜好多人都没抓住。
EOS“史诗级”漏洞的发现,360再一次展示了自己在安全领域的技术实力,也一举奠定了360在区块链安全领域的领导者地位。
三、区块链安全需要更多360、更多周鸿祎共同守护
周鸿祎说:区块链领域里面,真正的安全问题其实还没出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。
之前何玺在文章中说过:在区块链和加密货币越来越被大众所熟知的当下、将来,保护用户数字资产安全,保障平台系统安全,都是个人用户、区块链企业、政府管理层等十分关心的问题。
从用户角度来说,区块链技术越安全,使用起来才会越放心,加密货币也是一样;从企业角度来说,区块链技术安全是保障自身应用系统安全、用户数据资产安全的最基本要求,也是最高要求;从政府管理层面来说,保护公民合法数字资产安全,监督企业安全运营也是基本职责。
但现实情况是,企业在应用服务或交易所技术上很专业,很厉害,但在保障应用服务和交易所安全上却多有欠缺。The DAO和Coincheck都是例子。前者在应用上线部署之前没有检查出系统漏洞,才会被黑客所攻击,后者则缺乏明确的安全保护措施,未能保护好用户数字资产安全。
那么该如何解决区块链技术安全问题呢?
玺哥认为这需要像360这样专业的安全服务商来做。比如360推出的基于区块链安全生态的3个系统。括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。
这几个系统也可以看做是360针对区块链企业推出的安全服务套餐,各个不同区块链企业可以选择不同的服务。这对其他区块链安全企业来说也是一种启示,区块链还处于初级阶段,安全市场也才开始,机会还很多。
安全厂商要做的是考虑如何保障区块链创业者的应用安全,从应用开发到部署上线,再到应用运营维护、监测、预警、防御等,从多角度,全方位去保护企业应用/平台运行安全,保障用户使用安全。
区块链安全的严峻情况,需要更多360、更多周鸿祎一起共同守护。