少妇人妻一区二区三区视频短片 ,免费无码高潮又爽又久久,视频自拍网站在线观看

被周鴻祎估值超“百億美金”的EOS漏洞，到底值錢在哪？

2018-05-31 09:58:55 來源：雷鋒網(wǎng)搶沙發(fā)

2018-05-31 09:58:55 來源：雷鋒網(wǎng)

摘要：近來區(qū)塊鏈的圈子中很熱鬧，又雙叒叕有智能合約被曝存在嚴重漏洞。來自 360 公司的 Vulcan（伏爾甘）團隊向媒體公布，其發(fā)現(xiàn)了區(qū)塊鏈平臺 EOS 的一系列高危安全漏洞，并表示部分漏洞可以在 EOS 節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節(jié)點。
關(guān)鍵詞：周鴻祎

　　近來區(qū)塊鏈的圈子中很熱鬧，又雙叒叕有智能合約被曝存在嚴重漏洞。

　　5 月 29 日，來自 360 公司的 Vulcan（伏爾甘）團隊向媒體公布，其發(fā)現(xiàn)了區(qū)塊鏈平臺 EOS 的一系列高危安全漏洞，并表示部分漏洞可以在 EOS 節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節(jié)點。

　　目前，EOS 的代幣市值高達 690 億人民幣，在全球市值排名第五，曾宣稱是“區(qū)塊鏈 3.0”新型平臺。（言外之意，比特幣老大，以太坊老二，老三就是我了?。?/div>

　　據(jù)一位名為“洛圖”的圈內(nèi)人分析，EOS 在圈內(nèi)的知名度之所以高，原因之一是其團隊宣稱，EOS 的 TPS（每秒提交交易數(shù)量）可以達到幾千，這樣的系統(tǒng)吞吐量是非常吸引人的，目前比特幣的 TPS 只有7，以太坊是 40，rippleshi 可以達到 1000，fabric 是 200。如果真的能達到其所宣稱的 TPS 性能，則能部分解決區(qū)塊鏈平臺交易費用高、確認時間長、擴展性差的問題。

　　原本，EOS 打算 6 月 1 日上線，但就在這臨門一腳的時候，被 360 的 Vulcan（伏爾甘）團隊曝出“史詩級”漏洞。

　　那么，這個漏洞究竟嚴重在哪里？修復(fù)成本高嗎？其他的區(qū)塊鏈平臺是否也將會出現(xiàn)類似的嚴重漏洞？

　　29 日下午，360 公司 Vulcan（伏爾甘）團隊負責人鄭文彬、核心事業(yè)部安全研究員彭峙釀、信息安全部負責人高雪峰在 360 總部解答了雷鋒網(wǎng)的這些疑問（文后的回應(yīng)方統(tǒng)稱為 360）。

　　連老周也來站臺的漏洞，到底有多嚴重？

　　在漏洞發(fā)布不久后，周鴻祎在其個人微博中對這次漏洞的評價為“價值超過百億美金”。

　　微博中稱，如果被非法利用，可以遠程攻擊控制和接管 EOS 上運行的所有節(jié)點，嚴重情況下，EOS 乃至整個虛擬貨幣市場都會遭遇滑鐵盧。

　　那這樣的攻擊具體是如何實現(xiàn)的？

　　在其官方博客中，研究團隊表示這其實是一個緩沖區(qū)溢出的漏洞。

　　漏洞的發(fā)現(xiàn)者“古河”在其個人微博中解釋，在 64 位系統(tǒng)中，攻擊者要實現(xiàn)遠程代碼執(zhí)行是非常困難的，因為在遠程攻擊進程中一般缺乏漏洞利用所需的內(nèi)存布局/多次讀寫過 dep/aslr 的手段。

　　簡單來說，這是兩道關(guān)卡，dep 是對惡意代碼的檢查手段，如果攻擊者突破了這道關(guān)口，還會遇到 aslr 這第二道關(guān)口，它通過增加攻擊者預(yù)測目標的難度，防止攻擊者直接定位攻擊代碼位置，達到阻止溢出攻擊的目的。

　　但是，EOS 為了加快合約執(zhí)行速度而引入的 wasm 虛擬機，讓他們可以繞過這兩道關(guān)卡。宅客頻道猜想，文中開頭所提到的 EOS 的 TPS 性能優(yōu)勢，正是建立在犧牲安全性的條件下。

　　大家應(yīng)該都聽過“牽一發(fā)而動全身”，區(qū)塊鏈是把 N 個點聯(lián)在一起的，而攻擊者就是其中的一個點，他會構(gòu)造并發(fā)布包含惡意代碼的智能合約，隨后，EOS 超級節(jié)點在執(zhí)行這個惡意合約的過程中，會觸發(fā)其中的安全漏洞。緊接著，攻擊者再利用超級節(jié)點將惡意合約打包進新的區(qū)塊，進而導(dǎo)致網(wǎng)絡(luò)中所有全節(jié)點（備選超級節(jié)點、交易所充值提現(xiàn)節(jié)點、數(shù)字貨幣錢包服務(wù)器節(jié)點等）被遠程控制。

　　這樣造成的結(jié)果是，由于已經(jīng)完全控制了節(jié)點的系統(tǒng)，攻擊者可以“為所欲為”，如竊取 EOS 超級節(jié)點的密鑰，控制 EOS 網(wǎng)絡(luò)的虛擬貨幣交易；獲取 EOS 網(wǎng)絡(luò)參與節(jié)點系統(tǒng)中的其他金融和隱私數(shù)據(jù)，例如交易所中的數(shù)字貨幣、保存在錢包中的用戶密鑰、關(guān)鍵的用戶資料和隱私數(shù)據(jù)。

　　甚至，攻擊者可以將 EOS 網(wǎng)絡(luò)中的節(jié)點變?yōu)榻┦W(wǎng)絡(luò)中的一員，發(fā)動網(wǎng)絡(luò)攻擊或變成免費“礦工”，挖取其他數(shù)字貨幣。

　　360 表示，雖然之前以太坊上也發(fā)生過智能合約的漏洞，但從未達到過遠程執(zhí)行任意代碼的程度。（即可以通過遠程攻擊，直接控制和接管鏈上運行的所有節(jié)點）

　　此前一直專注于區(qū)塊鏈安全的團隊“慢霧科技”在今天接受金色財經(jīng)的采訪時表示，因為這個漏洞可以直接拿到 EOS 超級節(jié)點的服務(wù)器權(quán)限，所以“史詩級”漏洞的表述，并不過分。

　　用多長時間發(fā)現(xiàn)的？修復(fù)成本高嗎？

　　周鴻祎在微博中透露，360 從年初開始，已經(jīng)在區(qū)塊鏈安全方面做了很多研究，目前已經(jīng)做了幾個區(qū)塊鏈的安全解決方案，EOS 超級節(jié)點安全解決方案正是其中之一。

　　而在采訪中，幾位安全研究人員也表示，與傳統(tǒng)軟件領(lǐng)域的漏洞可能被利用來發(fā)起網(wǎng)絡(luò)攻擊，造成數(shù)據(jù)、隱私的泄露相比，數(shù)字貨幣本身是一套金融體系，在數(shù)字貨幣和區(qū)塊鏈網(wǎng)絡(luò)中的安全漏洞，往往會有更嚴重、更直接的影響，所以非常注重區(qū)塊鏈安全的研究。

　　針對此次 EOS 的漏洞，他們是在本月初發(fā)現(xiàn)的，其后用了半個多月的時間來研究如何充分利用這個漏洞，28 日晚間，他們把漏洞完整利用的演示視頻和相關(guān)的代碼細節(jié)提供給 EOS 團隊，今日凌晨協(xié)助其進行了修復(fù)。

　　目前 EOS 網(wǎng)絡(luò)負責人表示，在修復(fù)這些問題之前，不會將 EOS 網(wǎng)絡(luò)正式上線。

　　花了這么長時間找出的漏洞，修復(fù)復(fù)雜嗎？即將于 6 月 1 日上線的 EOS，是否會因此次的漏洞而延遲上線？

　　對于這個問題，360 表示，可能會造成嚴重損失的優(yōu)先級漏洞其實修復(fù)起來并不復(fù)雜，很快就可以修復(fù)好，但是他們目前還發(fā)現(xiàn)了 EOS 更多的系統(tǒng)漏洞，對于后面的這些漏洞是否會延遲 EOS 上線，他們并不清楚。

　　80% 的加密錢包都存在安全隱患

　　除了 EOS，其他數(shù)字貨幣是否也存在各種漏洞？

　　此前，360 已經(jīng)發(fā)現(xiàn)和揭露了多個針對數(shù)字貨幣節(jié)點、錢包、礦池和智能合約的嚴重安全漏洞，以加密錢包為例，他們認為市面上八成都存在問題。而今日所發(fā)現(xiàn)的漏洞也并非是 EOS 獨有的，目前基本所有的區(qū)塊鏈智能合約如以太坊可能都會面臨此類問題。

　　也就是說，這類型的安全問題不僅僅影響 EOS，也可能影響其他類型的區(qū)塊鏈平臺與虛擬貨幣應(yīng)用。

　　他們此次報告這個漏洞，主要是想引起區(qū)塊鏈業(yè)界和安全同行在這類問題的安全性上更多的重視和關(guān)注。（也有人說他們是要進軍區(qū)塊鏈）

　　某位區(qū)塊鏈圈中的安全大佬認為，此次 EOS 的漏洞只是剛剛開始，還是站在開源代碼的基礎(chǔ)上的，所以安全同行能發(fā)現(xiàn)各種問題，提前修補，EOS 官方的態(tài)度也比較正確。但目前依然有很多藏著掖著不開源的同行，安全問題其實一點沒少。

第三十四屆CIO班招生
國際CIO認證培訓
首席數(shù)據(jù)官（CDO）認證培訓

責編：kongwen

免責聲明：本網(wǎng)站（http://www.www.gypb.net/）內(nèi)容主要來自原創(chuàng)、合作媒體供稿和第三方投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
本網(wǎng)站刊載的所有內(nèi)容（包括但不僅限文字、圖片、LOGO、音頻、視頻、軟件、程序等）版權(quán)歸原作者所有。任何單位或個人認為本網(wǎng)站中的內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，請及時通知本站，予以刪除。