鏈聞ChainNews:由于時差原因,360官方發布消息時,EOS技術團隊無法及時回復,事件在不確定性當中繼續發酵。盡管并未發生實質安全事故,但EOS價格在市場恐慌情緒中持續下跌,全球市場平均跌幅達8%。
5月29日,互聯網公司360霸占了所有區塊鏈媒體的頭條,不僅成功吸引了用戶眼球,市場行情也跟著跌宕起伏了一把。社區認為,這可以看作是360高調宣布入局區塊鏈的里程碑事件。
事件起源于微博賬號「360安全衛士」中午發布的一則消息。消息稱,360公司Vulcan團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。該漏洞的重要性在于,這是在智能合約虛擬機中發現的新型安全漏洞,360團隊稱:360發現區塊鏈史詩級漏洞。
不過,EOS開發者BM昨天深夜回復:在360官方發布消息前,該漏洞已被修復。
一個已被修復的漏洞是如何發酵成新聞頭條的?
由于時差原因,360官方發布消息時,EOS技術團隊無法及時回復,事件在不確定性當中繼續發酵。盡管并未發生實質安全事故,但EOS價格在市場恐慌情緒中持續下跌,全球市場平均跌幅達8%。
巴爾的摩加密貨幣初創公司 OBM Inc.完成300萬美元A輪融資:金色財經報道,據 bizjournals 消息,巴爾的摩加密貨幣初創公司 OBM Inc. 宣布完成了一筆 300 萬美元的 A 輪融資,旨在進一步擴大為加密礦企提供服務,該公司推出的軟件產品 Foreman 允許礦企管理整個礦場,提升這些設備處理 BTC 處理交易效率,讓每次礦場處理交易時,所有者都會收到一部分 BTC。據悉,OBM 已經與多家上市加密貨幣挖礦公司建立了合作伙伴關系,比如 Hut 8 Mining 和 Iris Energy 等。[2022/6/3 4:01:01]
新聞發布幾小時后,EOS運營公司Block.oneCEOBrendanBlumer在電報群中做出回應:
盡管我們的開發團隊還正在睡覺,Block.one已經在關注所有正在被報道的事情。我們對公眾的持續審查表示感謝,這也是開放源碼項目能夠如此強大的原因所在。讓我們來關注于如何構建一個更安全的互聯網以及其他建設性的事情之上;我們都感到非常激動。
而直到新聞發布接近十小時后,BM才在電報群表示,
中國的漏洞新聞是一個FUD,在新聞發布前,漏洞已經全部被修復。制造恐慌傳播的bug提交者將會失去獲取賞金和認可的資格。
LevelField Financial 選擇 Metaco 在 IBM Cloud 上推出數字資產管理功能:金色財經報道,美國金融服務公司LevelField Financial 選擇將數字資產和傳統銀行服務整合到METACO平臺。METACO是一家提供數字資產托管編排技術的市場供應商。LevelField 正在 IBM Cloud 上部署其機構數字資產管理操作,以利用 IBM 數字資產基礎架構的機密計算功能。
LevelField 將部署 IBM Cloud Hyper Protect Services* 支持的 Harmonize。這種設置將允許 LevelField 擴展到數百萬個錢包,同時保持對私鑰的控制以進行風險管理。IBM 的數字資產基礎架構旨在幫助保管人在使用 METACO 的 Harmonize 平臺時取得更大的成果,包括增強的可擴展性、安全性和合規性。(finextra)[2022/5/27 3:45:11]
盡管在360發布消息之前,該漏洞已被修復,但360官方發布的稿件中卻淡化了這點。在從消息發出,EOS團隊無法及時回應的幾個小時里,社區對漏洞事實的判斷存在極大不確定性,EOS市值從104億美元縮水至97億美元。
動態 | BM 提醒用戶甄別虛假賬號:據 IMEOS 報道,BM 在電報群中提醒有人假冒 Block.one CEO Brendan Blumer 進行詐騙,社區需注意甄別。
IMEOS 提示:Brendan Blumer 的電報名為 @blooms05,在 EOS 電報群中發言帶有 Admin 標識。[2018/12/21]
360是如何發現EOS漏洞的?
下午,360安全團隊的YukiChen和ZhiniangPeng在奇虎360技術博客中公布了發現EOS該漏洞并報告給EOS技術團隊的過程。節選編譯如下:
漏洞描述:在解析WASM文件時,我們發現并成功地利用了EOS的緩沖區溢出寫入漏洞。通過這個漏洞,攻擊者可以在節點服務器解析合約后,將惡意智能合約上傳到節點服務器,節點服務器就會解析這個惡意合約,然后惡意合約就會在服務器上被執行,再控制該節點服務器。在控制了節點服務器之后,攻擊者可以將惡意合約打包到新的塊中,并進一步控制EOS網絡的所有節點。
該報告還顯示,漏洞發現的時間為5月11日,360安全團隊于5月29日與EOS團隊進行了溝通,EOS團隊修復了GitHub上的漏洞,5月29日,注意到該漏洞并未修復完成。
動態 | BM 回應 CPU/NET 資源管理問題:據 IMEOS 報道,EOS 電報群有人提問“Dan,你如何設想資源管理(CPU / NET)為普通大眾所用,然而這些公眾在很大程度上難以管理它的動態性質?”
BM 回應表示:應該減少擁堵和非擁堵狀態下每個 eos 所能抵押的帶寬差異,比如從 1000 倍減少到 10 倍。這可能會導致建造更高的 “樓層”,但能夠降低變動。[2018/10/13]
在報告內附的360安全團隊與BM的對話截圖中可以得知,在知曉了該漏洞存在后,BM表示不會在漏洞修復完成之前發布EOS主網。同時希望360團隊私下將漏洞報告給他,因為有些人正在使用公共測試網絡。聊天截圖的最后顯示,該漏洞已被修復。
存在「史詩級漏洞」的EOS有歸零風險嗎?
360官方團隊發布的消息用「史詩級」描述了該漏洞,并稱「足以轟癱整個數字貨幣體系」,「可完全控制虛擬貨幣交易」。
該事件引發了社區的熱烈討論。慢霧科技聯合創始人余弦談到,360發現的這個漏洞確實很嚴重,本質應該就是:惡意合約->合約虛擬機穿透->控制服務器。同時,他還透露了EOS超級節點攻擊的幾個入口,包括:1.P2P端口;2.RPC端口;3.惡意智能合約;4.服務器與集群等其他缺陷;5.人員安全缺陷。
IBM 與聯合利華將推出區塊鏈方案,提高廣告投放透明度:近日,全球最大廣告主之一的聯合利華,宣布與IT巨頭IBM合作研發一個針對媒體廣告的區塊鏈解決方案。該方案以IBM的戰略部門IBM iX操刀設計,以提高數字廣告投放的透明度,優化廣告投放戰略。IBM和聯合利華均表示區塊鏈技術是減少惡意機器人流量的關鍵。該項計劃將記錄用戶的廣告獲取、交付和互動行為,對廣告主的廣告投放提供財務對賬的服務,從而減少虛假流量的影響,為廣告主提供可靠的衡量指標。IBM iX的全球營銷執行合伙人Babs Rangaiah表示“區塊鏈讓廣告投放中的每一個環節都清晰透明,讓廣告主知曉如代理商、出版商等機構所起到的作用,廣告主能夠以此優化廣告預算。另一方面,這也能改善以往的收益不平衡,參與到廣告投放中的機構能夠得到自己應有的酬勞。聯合利華的這個決定將是歷史性的,因為這確切地展示了區塊鏈在廣告媒體中的應用潛力。”[2018/3/7]
所謂「史詩級」漏洞的影響到底有多大?隨著恐慌情緒在社區發酵,關于EOS歸零的言論甚囂塵上。參與EOS超級節點的歐鏈科技告訴巴比特,「EOS不會歸零,」同時,歐鏈科技肯定了360公布此漏洞的態度,并認為這是對EOS甚至未來區塊鏈安全的長久利好。
a)首先漏洞在EOS正式上線前公布,避免了EOS上線后被0day攻擊的可能。可以設想,如果這個漏洞被其他的黑客首先發現或者利用,會對整個項目產生不可挽回的破壞。b)在EOS官方尚未對該漏洞進行恢復前,360并未公布太多該漏洞的細節,也避免了這一漏洞被惡意利用的可能。c)目前360這樣巨大體量的安全公司開始以公益性的方式接入到EOS等公鏈項目,正標志著傳統互聯網的安全技術公司開始重視并介入到區塊鏈領域。這對于未來區塊鏈尤其是公鏈項目的安全會是一個長久的利好。
不過,社區也有部分意見認為,360官方對該漏洞的評價過于嚴重,不乏有借勢炒作之嫌。
比原鏈創始人段新星發布微博評價:
大致看了下,就是一個利用數組越界漏洞可導致內存溢出,獲得超級權限覆蓋掉WASM,填寫新的可執行代碼進去,進行惡意操作。這種漏洞很常見的,怎么就變成史詩級的了。BM第一次是加了Assert判定檢查其實也可以包一個安全函數來操作,我覺得這個漏洞倒不難改。
CSDN副總裁孟巖在公開采訪時表示,
該事件體現了360安全團隊的實力,也能幫助全球區塊鏈技術社區審視同質化區塊鏈網絡的固有問題。但360的宣布用詞夸張,公關渲染痕跡嚴重,如果能夠平實一些,細節多一些會更好。
「史詩級」營銷:360是最大贏家?
一片慌亂中,事件的另一方360,已經為自己賺足了眼球。
下午,360公司董事長兼CEO周鴻祎發布微博稱,360已經做了EOS超級節點安全解決方案,
360安全大腦發現的區塊鏈漏洞,價值超過「百億美金」,如果被非法利用,可以遠程攻擊控制和接管EOS上運行的所有節點,嚴重情況下,EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。360從年初開始,已經在區塊鏈安全方面做了很多研究,已經做了幾個區塊鏈安全解決方案,也包括EOS超級節點安全解決方案。
隨后,當天下午,多家區塊鏈相關公司相繼宣布與360達成合作:
歐鏈科技將與360合作,利用360安全大腦,共同打造EOS超級節點安全解決方案,合作內容包括360安全大腦向歐鏈科技提供區塊鏈安全技術,以及提供區塊鏈安全服務等;
EOSLaoMao也宣布與360達成戰略合作,共同成立研發團隊,在網絡安全維護、攻落攻擊預面做努力;
幣安宣布與360達成安全方面深度合作,360將為幣安提供一系列智能合約代碼審計服務和長期安全檢測服務。
同期,360在北京總部召開了有關EOS此次漏洞的媒體溝通會,分析了漏洞細節,對漏洞攻擊進行了現場展示,并表示已經給20多個錢包進行了檢測,發現80%的錢包都存在或多或少的漏洞。在此之前,360已經提交了門羅幣的漏洞,過幾天還會提交以太坊的漏洞。
晚間,據媒體消息,360宣布將依托360安全大腦積累,在物理安全、平臺安全、網絡安全、系統安全、應用安全和數據安全六方面進行防御部署。
360在短短一個下午完成了披露提供EOS超級節點安全解決方案,組織漏洞分析媒體溝通會,以及公告與多家區塊鏈行業企業達成安全方面的合作。此舉被認為是360借勢為進軍區塊鏈做了一場免費又聲勢浩大的「史詩級」營銷。
區塊鏈安全是一個值得深入探討并重視的話題。區塊鏈開發過程中存在bug在所難免,項目團隊應及時自查,發現修補,投資者也無須過度恐慌。同時,借勢營銷應當有度,不應以擾亂市場為代價。
不過,360此番借勢營銷的本質,可以視為傳統互聯網領域有巨大體量的安全技術公司已經正式介入區塊鏈。盡管半個區塊鏈社區都為EOS揪了一把心,但長遠來看,對EOS乃至整個區塊鏈生態建設未嘗不是一件好事。
不過眼下,社區更關心的問題可能是,在該事件影響下,EOS主網上線會否推遲?你怎么看?
鏈聞ChainNews:有謠言買入,有新聞賣出。
原文作者:萌大大鏈聞編輯:MrRochester版權聲明:文章為作者獨立觀點,不代表鏈聞ChainNews立場。
來源鏈接:www.8btc.com
本文來源于非小號媒體平臺:
鏈聞看天下
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3626848.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
EOS爆出百億美金漏洞,技術大咖告訴你發生了什么
作者:JohnBiggs翻譯:Maya暴走時評:在三星在首爾舉行的Real2019活動中,三星SDS首席執行官HongWon-pyo表示該公司計劃在其企業IT解決方案包中添加區塊鏈技術.
1900/1/1 0:00:00昨天的區塊生產者投票結果顯示,EOS主網依然無法正式上線。BP將會在24小時之后再次組織一場投票。昨天的這場BP投票過后,期待已久的EOS主網依然無法上線.
1900/1/1 0:00:00尊敬的BITKER用戶:YBT將于香港時間2019年4月8日17:00開啟YellowBetterToken (YBT)搶購.
1900/1/1 0:00:00知名網絡安全公司Segasec的報告顯示,以太坊錢包MyEtherWallet(MEW)記錄的黑客攻擊嘗試比財富雜志500強銀行的還要多。Segasec一直負責保護MEW免受惡意攻擊.
1900/1/1 0:00:00近日,360公司Vulcan團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點.
1900/1/1 0:00:00暴走時評:韓國政府日前宣布了對21家加密貨幣交易所的檢查結果,雖然許多交易所已完成了短期管理措施和錢包管理措施的實施,但大多數交易所仍然存在許多安全漏洞.
1900/1/1 0:00:00