mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

360召开EOS漏洞发布会:如果要做空主节点上线之后效果会更好

收藏
分享

近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。 经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。 EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。

29日下午4点,360在总部召开EOS漏洞发布会,《币世界》第一时间带来现场直播报道,以下为现场报道内容:

1.这个漏洞仅仅对EOS单个项目有影响还是DPOS、超级节点机制的项目?

答:漏洞本身针对EOS,类似漏洞也会影响其他项目。

2.漏洞存在多久?

答;从一开始就有,至少一年,但是不确定,应该从刚开始就有,发现大概半个月。漏洞攻击第一步通过漏洞上传智能合约,通过漏洞控制超级节点,攻击其他节点(如备用节点)以及攻击测试网络。目前还没上线主网。出于对用户负责,所以在主网发布前公布漏洞。

3.是否造成实际影响?

答:没有,联系了官方修改代码。

4.是否在其他代币存在?

答:有可能,但是除非用同一个代码,否则不完全会出现一模一样的。

5.构造恶意智能合约的内容,如果成为区块链一部分,能否回滚或逆反?

答:智能合约构造方式针对此漏洞,专门针对问题构造相应代码。如果漏洞造成影响控制超级节点,不对信息就会写进区块,如果要改就要回滚。

6.怎么传染?

答:可以认为是同一漏洞,超级节点解析合约,解析合约就会被控制。控制就会把恶意代码打包给其他节点,其他节点验证就会被攻击、控制,再传播。

7.为什么360关注区块链安全问题,后续是否关注其他?

答:一直关注,包括钱包、矿池等。从今年开始就在做这方面工作。eos主网快上线,代码更新快,所以对安全关注低。360也在关注其他的钱包安全,国内外钱包漏洞也很多。

8.EOS漏洞和传统网络问题相比如何?

答:虽然区块链是新的,但传统安全问题也还会遇到,还会出现新问题:如隐私,dos,所以需要强大安全措施、防御。360做基于链上的感知:1.发现漏洞攻击;2、防御手段。

9.为什么没提早公布发现漏洞?

答:漏洞过程比较复杂,没具体公布,延缓啥门槛。差不多花了一周左右时间证明漏洞可以利用。漏洞修复起来比较简单,就改一行代码。这次不光发现这个漏洞,还发现了一系列问题,准备提交eos。只先公布了最严重的安全问题和漏洞发现。

10.eos平台和官方如何反馈?

答:今天上午联系了,昨天夜里修复的,上午联系说修复了会给直切信息,现在还没看到。

11.简单代码修复简单,会不会影响主网上线?

答:上线不是我们决定的,还是看他们一系列计划。从现在看他们修复还是蛮快的,其他一系列漏洞还会陆续给,除了这个比较严重的还有其他小的,动态持续的。除了一个漏洞还有其他的,代码不断更新还会持续产生漏洞。

12.除了ETH,其他钱包有漏洞?

答:我们给20多个钱包进行了检测,发现80%的钱包都存在或多或少的漏洞。同时我们提供了解决方案。我们之前也提交了门罗币的漏洞,过几天也会提交以太坊的漏洞。

13.漏洞影响整体市场?

答:重大安全问题肯定会对数字货币一些层面产生担忧,从趋利避害角度影响市场热情。eos这种问题个人的确没办法做什么事,但是币圈的可以在从钱包、私钥选择安全性更高的,对安全性更关注点。对个人的主动攻击、钓鱼也会增多,需要增加安全意识。

14.区块链安全团队主力是多少?

答:360区块链安全团队目前有十几个人,分别从攻击的、防御的角度去做测试。

15.360是否存在做空EOS?

答:不存在做空,有漏洞就告诉官方;如果要做空的话等主节点做空之后效果更好,360团队肯定会秉着基本的职业素养。

16. 业内安全报告给官方就好了,为什么对外公布?是否借机进军区块链安全领域?

答:360早就进入区块链安全行业。报告漏洞,告诉官方,说一下,在安全行业内很常规,只是这次受关注比较大。

17.漏洞攻击具体是怎样的?

答:控制超级节点很快,几秒钟就可以控制。如果不知道漏洞,反应比较困难。如果有相应安全解决方案、防护措施,有可能可以提前、事后发现。

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。