今天真的被EOS史诗级漏洞的新闻搞得有点晕。我是一个不懂技术的小白,一开始有点怀疑360,但是看了360官方和一些大神对此评价之后,我还是对360有了一个新的认识,很敬佩360的原则和初衷。(我要去学习知识啦,以后不瞎评论啦)
1.事件
360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。 29日凌晨360将该类漏洞上报EOS官方,并协助其修复安全隐患。
具体情况如下:28日下午1时,360方面完成了利用漏洞控制整个EOS网络的演示;28日晚间10时左右,360联系到了EOS官方反馈此漏洞;29日凌晨得到EOS回复称,不要公开漏洞细节,EOS网络正在修复。29日凌晨2点左右,EOS已经完成修复。
2.360声音
360技术部门负责人:
这件事情本身是一个很严重的问题,但修复起来并不困难,应该不会对主网上线造成重大的影响,因为EOS在此之前一直在不断的修复漏洞。
360首席安全工程师郑文彬:
5月28日12点把漏洞提交给BM,BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞,但这是在智能合约虚拟机中发现的新型安全漏洞,是前所未有的安全风险。
虽然散户不会运行全节点,但如果EOS漏洞进行攻击,散户可能受到多方面的威胁,丢币也是可能的。
360没有做空,没有操作。主节点上线之后再做空可能会更好,所以本着360安全的工作,这是我们的素养,没有做空的想法。
这几句话说的实实在在,要是为了赚钱,360完全可以等到主网上线以后再做空,或者直接利用漏洞赚钱,这里给360的原则和素养点个赞。
周鸿祎:
这一漏洞价值超过“百亿美金”。如被非法利用,可以远程攻击和接管EOS上运行的所有节点。360从年初开始,已经在区块链安全方面做了很多研究,已经做了几个区块链安全解决方案,也包括EOS超级节点安全解决方案。EOS区块链平台漏洞媒体沟通会现场也表示,除了eos此次重大的漏洞外,其实也发现了门罗和以太坊的漏洞,不过安全问题较小,比较容易解决。
360官方人员高雪峰:
如何利用安全优势切入区块链领域,区块链不是新的技术而是把很多原有的技术做结合,传统的领域遇到的问题在区块链领域都会遇到,只是eos关注人数足够多所以会引起重视。从360角度,也就是站在安全守卫者的角度出发,依托于360的安全代码,360把数字货币异常的交易等都能感知出来。漏洞攻击的角度来说,能够发现问题,使用防御手段,从而使得区块链行业中涉及到的智能合约更安全,这是360的初衷。”
3.外界声音
慢雾科技:
这个漏洞本身是存在的并且可信度非常高,而且是可以直接拿到EOS超级节点服务器的权限,360所描述的史诗级漏洞,这种表述不过分。360没有披露漏洞细节是可以理解的,此次漏洞是在EOS网络上发布的恶意智能合约,该智能合约可以同步到区块链网络上,每个超级节点都会同步。这个恶意的智能合约会导致合约的虚拟机被穿透,打穿虚拟机到服务器,从而控制服务器。EOS 超级节点攻击有几个入口P2P 端口、RPC 端口、恶意智能合约、服务器与集群等其他缺陷、人员安全缺陷。此次漏洞是第三点从智能合约对区块链网络进行的攻击。
这个漏洞的穿透过程,听着就很有影响力,说是史诗级也不过分。
量子链帅初:
1 这种漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。 任何一个小的共识协议的疏忽,都会有机会ddos整个区块链网络。 2 面向货币的设计,比特币做的不多不少,刚好合适。 3 eth和eos,都不是面向货币的设计,面向区块链平台的设计,复杂度很高,也蕴含更多安全隐患。 4 之前unlimited btc,也是因为一个共识bug,网络就会被ddos瘫痪。 5 应该和webassembly新的虚拟机和无gas模型有关,远程代码被vm编译后,被无限执行。
Oracle Chain老狼:
360以如此的时机和态度介入EOS的漏洞公布和修复是一个非常中立和客观的安全公司的态度,也能看出360团队是非常专业的白帽子团队。首先漏洞在EOS正式上线前公布,避免了EOS上线后被0day攻击的可能。可以设想,如果这个漏洞被其他的黑客首先发现或者利用,会对整个项目产生不可挽回的破坏。在EOS官方尚未对该漏洞进行恢复前,360并未公布太多该漏洞的细节,也避免了这一漏洞被恶意利用的可能。目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目,正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。
IPFS布道者董天一:
从技术层面来讲,只要是代码,就可能有bug的存在。这和项目复杂程度,写代码人员的素质,项目管理能力都有关系。而且很难避免,历史有很多类似的经典案例。
Usechain曹辉宁:
EOS是一个伪区块链的概念,很容易受到黑客的攻击,每个节点是轮流做验证交易的。并且会存在黑客和超级节点联合攻击网络的可能,所以EOS网络是非常不可靠的。21个超级节点只要有一个骗子,就会对整个网络造成非常大的影响。此次漏洞是程序上的漏洞,超级节点的设计很容易被攻击,一旦掌握了超级节点,就掌握了整个系统。
EOS Beijing:
EOS目前还在“实验阶段”,存在不确定性,本身投资者应该保持理性,平常心看待。目前得到的信息看,这个漏洞还比较严重。但目前主网还没上线,这个时间点问题暴露出来,是件好事。此外,EOS能够得到主流安全服务商的深度关注,会增强大家对项目的信心。
今天新闻一报道出来,不明所以的我们心里慌的很,在看到各位360官方和各位大神的言论之后,心里稍微放松了一点。毕竟,EOS主网还没上线,360在这个时间点告知并协同修复漏洞是非常合理的,且现在漏洞已经修复完成。但是也有大神认为超级节点的设计会是以后的隐患,会很容易受到攻击。
今天这件事,除了EOS本身以后会不会发展成功之外,我忽然意识到,我要好好学技术,学知识,要拥有自己的判断价值,要拥有自己的三观,不能随波逐流。各位也是,自己判断。
1991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
