360公布EOS漏洞报告细则,不存在恶意做空行为

来源:财经网 作者:盛兰 2018/05/30

360团队负责人表示没有做空的计划和操作,如果想做空的话,就应该等主网上线后再公布.

没有做空,没有操作,主节点上线后再做空可能会更好360首席安全工程师、Vulcan团队负责人郑文彬表示,此次360公布EOS安全漏洞仅是互联网安全行业的常规流程。

360团队公布的漏洞报告显示,此次漏洞主要是越界漏洞,利用智能合约进行攻击,郑文彬称:漏洞就存在于一行代码中

攻击者可以利用此漏洞在nodeos进程中实现远程代码执行,方法是将恶意合约上传到节点,并让节点解析恶意合约,在实际攻击中,攻击者可能会向EOS主网发布恶意合约,然后触发漏洞,之后攻击者会控制解析了恶意合约的EOS超级节点。

接下来,攻击者可以窃取超级节点的私钥,或是控制新区块的内容。更重要的是,攻击者可以将恶意合约打包成一个新区块并发布,这样做的结果就是让这个网络中的所有完整节点都被攻击者控制。另外,即使散户不会运行全节点,但如果EOS漏洞被攻击,散户也有可能丢币。郑文彬强调:控制超级节点所需要的时间只需几秒

对于智能合约的安全防护,360核心安全事业部的安全研究员彭峙酿表示,除了代码审计以外,整体安全解决方案、针对交易的控制、权限控制的解决方案、多层防护措施都会对漏洞危害起到一定的限制作用。此外,在提交报告后,目前EOS已经修复了这个代码,但是没有修复好。这个漏洞从越界漏洞变成整数溢出漏洞,但这个漏洞有一定的利用限制,所以目前我们认为影响还行,但也把这个问题提交给他们了

360团队用史诗级来形容此次漏洞,而比原链CEO段新星在微博中则表示,这种漏洞很常见。该漏洞是一个利用数组越界漏洞可导致内存溢出,获得超级权限覆盖掉WASM,填写新的可执行代码进去,进行恶意操作,这种漏洞很常见。BM第一次是加了Assert判定检查(很遗憾失效了,可能哪儿没修干净)其实也可以包一个安全函数来操作,我觉得这个漏洞到不难改

对于此番360选择在EOS主网上线之际对外公布漏洞,引发舆论风波,导致市场动荡的行为,业内有相关人士认为,360此举虽然证明其实力很强,且在公布前与EOS官方进行沟通后,也促使EOS进行了修复,但从市场稳定的角度看,应该等EOS漏洞完全修复后再对外公布

 

编辑:盛兰
分享到:

相关新闻