近日,360公司Vulcan團隊宣布發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
29日凌晨,360第一時間將該類漏洞上報EOS官方,并協助其修復安全隱患。EOS網絡負責人表示,在修復這些問題之前,不會將EOS網絡正式上線。而周鴻祎則稱此次發現的漏洞價值超過「百億美金」。
在此次EOS的高危漏洞中,攻擊者會構造并發布包含惡意代碼的智能合約,EOS超級節點將會執行這個惡意合約,并觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊,進而導致網絡中所有全節點被遠程控制。
EOS跌破5美元關口 日內跌幅為1.56%:火幣全球站數據顯示,EOS短線下跌,跌破5美元關口,現報4.9999美元,日內跌幅達到1.56%,行情波動較大,請做好風險控制。[2021/2/21 17:35:27]
由于已經完全控制了節點的系統,攻擊者可以「為所欲為」,如竊取EOS超級節點的密鑰,控制EOS網絡的虛擬貨幣交易;獲取EOS網絡參與節點系統中的其他金融和隱私數據,例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。
更有甚者,攻擊者可以將EOS網絡中的節點變為僵尸網絡中的一員,發動網絡攻擊或變成免費「礦工」,挖取其他數字貨幣。
PlusToken跑路資金發生異動,2,631萬個EOS被轉移:據PeckShield旗下數字資產可視化追蹤平臺CoinHolmes數據顯示,今天下午16點18分,PlusToken跑路資金中EOS資產發生異動,eospstotoken向jnhgvbkkfdjf轉移了26,316,339個EOS,原賬號僅剩余了350個EOS。而進一步分析發現,jnhgvbkkfdjf地址所屬為庫神冷錢包coldlaregist地址新創建的賬號,這意味著PlusToken團伙可能有將資金進一步封存的準備。PeckShield在此提醒廣大用戶謹慎參與投資,避免數字資產遭到損失,同時呼吁各大交易所應做好地址標記,協助并及時凍結流入的贓款。[2020/6/22]
360首席安全工程師鄭文彬回應:
行情 | EOS 1小時跌幅超過2.50%:據Bitfinex數據顯示,EOS 1小時內跌幅超過2.50%,現報價5.22美元,價格波動較大,請密切關注行情走勢,注意風險控制。[2018/9/14]
5月28日12點把漏洞提交給BM,BM凌晨完成了部分修復。目前這個漏洞僅僅是EOS網絡的漏洞,但這是在智能合約虛擬機中發現的新型安全漏洞,是前所未有的安全風險。
比原鏈創始人段新星表示,本次事件是一個利用數組越界漏洞可導致內存溢出的問題,獲得超級權限覆蓋掉WASM填寫新的可執行代碼進去,然后進行惡意操作。這種漏洞很常見,并不能成為史詩級的漏洞。BM第一次是加了Assert判定檢查,其實也可以包一個安全函數來操作。
比原鏈首席架構師James指出,EOS想做分布式服務就意味著它會面臨相對于比特幣更多的問題和挑戰。類似于EOS這種不收gas的機制,以后也許還會遇到很多復雜的問題。相對而言,有些方面比原虛擬機有收gas機制就不會碰到,搞溢出會直接因為內存使用收gas導致虛擬機報錯退出。比原鏈與EOS一樣都是做底層公鏈技術,都是在慢慢摸索前進方向,不斷的修正錯誤,逐步成長起來。
截止事件結束,據EOS官方消息人士稱:BM已經修復了這個漏洞。
鏈聞ChainNews:提供每日不可或缺的區塊鏈新聞。
原文作者:比原鏈鏈聞編譯:YY版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。
來源鏈接:www.8btc.com
本文來源于非小號媒體平臺:
鏈聞速遞
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626841.html
EOS柚子漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
BM譴責360制造恐慌,「史詩級漏洞」還是「史詩級營銷」?
下一篇:
360高調進軍區塊鏈,「史詩級漏洞」還是「史詩級營銷」?
上周開始,一頭部交易所開始頻繁遭遇撞庫攻擊。「幾十個數據包,都在凌晨開始撞庫,嘗試登錄用戶的賬號。」該交易所安全負責人CC稱.
1900/1/1 0:00:00一家英國的新聞機構和一家區塊鏈分析公司Chainalysis共同調查推特上的加密貨幣欺詐行為和采用的方式。他們使用的樣本是像馬斯克這樣的科技巨頭,這些人的粉絲目前已經被偷去了成百上千美元.
1900/1/1 0:00:00但如何實現城市間各部位數據的共享呢?這又是個令人懊惱的問題。無論是企業或是政府各部門,對數據共享缺乏足夠的動力。數據被視為數字時代的石油,每家企業都想守著自己的數據挖掘出巨大的商業價值.
1900/1/1 0:00:00尊敬的BITKER用戶:“TRP交易大賽”活動已經于2019年5月15日23:59:59圓滿結束,感謝用戶的大力支持,所有獎勵都已經發放至您的個人賬戶,敬請查收,感謝您的支持與參與.
1900/1/1 0:00:007月11日消息,由于沒有采取足夠措施幫助阻止加密貨幣交易所遭受黑客攻擊,韓國政府受到民眾批評。監管機構相關數據顯示,在經過政府檢查后,三家加密貨幣交易所發生黑客事件,造成近1億美元的損失.
1900/1/1 0:00:00作者|龍玥 今日,主流交易所的優選上市幣高度一致地都走出了一輪暴漲行情。截止午間12:00,幣安四期Launchpad項目集體大漲,其中MATIC價格翻了一倍,24小時漲幅高達102%,此外FE.
1900/1/1 0:00:00