不管这是否是一场蓄谋已久的PR, 都给币圈的安全漏洞问题敲响了警钟。
因超级节点竞选而在近期大热的全球第五大数字货币EOS却在官网即将上线的关键时候遭遇了安全危机。
5月29日,360安全团队发表了一篇名为“360发现区块链史诗级漏洞可完全控制虚拟货币交易 ”的文章,360董事长周鸿祎评价该漏洞为“史诗级、价值百亿美元”,由此引发市场恐慌,5月29日EOS价格一度下跌幅度达10%。
很快,EOS创始人BM在telegram群中回复称,360报告中提到的漏洞早已被修复,且早于360发布报告的时间,BM认为360在故意制造市场恐慌,并进一步强调EOS主网上线前不会有重大BUG。
因BM宣布该漏洞早已被EOS修复。随后EOS币价格反弹,截止5月31日上午10点 ,在火币交易所,EOS|USDT价格约为78.6元。截至5月29日,EOS市值已达121.3亿美元。6月2日,EOS即将主网上线,在这个关键时点,360高调对EOS出手究竟想干什么?
“红衣教主”进军区块链
在发布漏洞的当天,360陆续与EosLaoMao、OracleChain、数字钱包Dbank、币安等机构达成战略合作,合作对象覆盖数字货币交易所、节点、数字货币钱包等各种场景。EosLaoMao、OracleChain都是此次EOS超级节点的参与方,Dbank是360在区块链领域第一个试水的产品,主要是基于360技术的数字资产管理平台。
第二天,即5月30日,周鸿祎又高调的参加了自媒体火星财经的《王峰十问》。
在业内人士看来,这是一场蓄谋已久的PR,“发现漏洞后立刻对外宣传,且恰好风险在EOS的关键时间点,时间点太巧,让人不禁遐想。”一位区块链安全领域人士这样认为,不过在与火星财经的对话中,周鸿祎否认了这一说法。
但是至少有一点可以肯定,红衣教主通过此役开始正式进军区块链安全领域了。
周鸿祎声称接触区块链是从年前开始的,混迹于三点钟区块链群,但很少见其在群里发声,更多时候他是一个学习者和观察者的角色。
而如今,360表示将进军区块链安全领域。“我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。”
周鸿祎介绍称,网络安全的影响已经从最初简单的信息安全,演变到从线上到线下都会受到网络攻击的威胁,并且新威胁越来越多。
其表示未来360将围绕区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。
区块链安全领域中既包含传统的互联网安全服务部分,比如交易所,也包括新增的智能合约部分。
在专注于网络信息安全问题的白帽汇创始人兼CEO赵武看来,目前的链上出现的安全问题主要是智能合约的问题,谁拥有智能合约的原创漏洞,谁就有强大的竞争力。
“大部分的企业都是跟风,没有研究核心漏洞的能力。这次360展现的能力就是利用智能合约的虚拟机机制下的漏洞完成控制,之前出现的一系列问题比如BEC的整型溢出导致的直接清零,考究的是安全团队的漏洞挖掘能力。”赵武表示。
360的股价也随着这两天的舆论遭遇了波动,在5月29日小幅上涨2.9%后,次日再下跌3.27%,截止5月30日,三六零股价收于33.68元/股。
被忽视的区块链安全
5月29日,360召开了关于发现EOS漏洞的新闻媒体沟通会,同时在360安全官方微博宣称,旗下的Vulcan 团队发现区块链平台EOS的系列高危安全漏洞,其中部分漏洞可以在EOS节点上远程执行任意代码,直接控制和接管远程EOS上运行的所有节点。
“如果漏洞被人利用,可以控制EOS网络里面的每一个节点、每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器,拿到服务器权限,就可以为所欲为了。”周鸿祎在接受媒体采访时表示,“EOS现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。” 360Vulcan 团队在5月11日发现了该漏洞,并于5月28日完成了利用该漏洞控制EOS网络的演示,同时联系EOS方面反馈该漏洞,5月29日凌晨两点EOS团队将漏洞进行了修复。
值得注意的是,360对外发布的EOS高危漏洞的时间恰好临近EOS上线节点。6月2日,EOS主网将上线,EOS Token将基于自身公有链运行,EOS被视为是继比特币、以太坊后第三代区块链产品。根据链塔智库的报告,在今年五月中旬以来,加密数字货币市场大跌,四个主流币中,EOS跌幅最大,将近30%。该漏洞被360爆出后,EOS价格出现短暂下跌,随后反弹。
赵武对此分析称,目前爆出的该漏洞为平台级的,属于高危漏洞。在白帽汇最近发布的区块链安全研究报告中,将区块链攻击事件包括共识机制、智能合约、交易平台、用户自身四个方面。360此次发现的EOS漏洞属于智能合约中的合约虚拟机的逃逸漏洞。
据了解,智能合约通常都是一个虚拟机的形式运行的,而逃逸漏洞可以利用虚拟机的漏洞进行到真实主机的穿越。“区块链领域这是第一例虚拟机逃逸案例,但是在传统安全领域对应虚拟机逃逸的案例非常多。”
在赵武看来,这通常是由于没有投入足够的安全测试造成的。
实际上,区块链安全问题频发。4月,因数据溢出漏洞导致BEC被大量抛售市值归零,更早之前世界第二大数字货币交易所币安发生账户被盗事件,以及日本第二大交易所Coincheck的价值5亿美元新经币失窃,使得整个数字货币交易市场弥漫着恐慌与不安情绪。
据区块链安全研究报告统计,80%的攻击损失来自于业务层面的攻击,其损失额度从2017年开始呈现指数上升趋势,截止2018年3月31日,已披露的安全事件造成损失达8.1亿美元。
“钱多,漏洞多,管控少这是根本原因,参与的人一多,问题就凸显了。未来区块链安全事件一定会持续的爆发一段时间,随着安全标准和要求的逐步完善,以及链圈自身会加强安全审计和评估工作,漏洞会得到一定的控制。最终会跟目前的网络安全形势一样,依旧严峻,但是相对可控。”赵武告诉《中国企业家》。