“EOS宪法本身就是安全漏洞。”
“网红”柚子币EOS 的安全问题又双叒叕被搬上了台面。昨日,据360Vulcan 团队情报称,EOS 智能合约底层 asset 类存在严重缺陷。这已经是自2018年以来,EOS第四次因安全问题而被曝光与质疑。
问题不断,安全漏洞频现
与百万量级TPS、免手续费等优势相比,同样惹眼的还有EOS的安全漏洞问题。自从EOS被360曝出存有“史诗级”漏洞后,有关EOS的安全隐患问题,便开始层出不穷的涌现而出。
2018年5月29日 360披露EOS存有“史诗级”漏洞
5月29日,360安全卫士发布微博称,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,也就是说黑客可以通过远程攻击,直接控制和接管EOS上运行的所有节点。控制了系统中全部的节点后,黑客可以窃取EOS超级节点的密钥,控制EOS网络的虚拟货币交易,获取EOS网络参与节点系统中的其他金融和隐私数据等。
29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
受此影响,EOS短线大跌,单币价值一度跌破11美元,最低跌至10.7美元/枚。
2018年7月11日 PeckShield曝光EOS平台上的秘钥存有安全隐患
PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。
该隐患的根源在于部分秘钥生成工具,允许用户采用强度较弱的助记词组合,这种组合方式形成的秘钥极其容易存在“彩虹”攻击,致使用户的账户数字资产被盗。
据悉,截止到7月13日,EOS累计通过安全账号向用户退还3163个EOS Token。
2018年7月16日 IMEOS宣称EOS假账号安全风险预警
IMEOS发布消息称,EOS假账号安全风险预警。随后慢雾区提醒,如果EOS钱包开发者没有对节点确认进行严格判断(比如应该至少判断 15 个确认节点才能告诉用户账号创建成功),那么就可能出现假账号攻击。
此次攻击步骤大致分为三步:
1.用户使用某款EOS钱包注册账号(比如aaaabbbbcccc),钱包提示注册成功,但由于判断不严格,这个账号本质是还没注册成功;
2.用户立即拿这个账号去某交易所做提现操作;
3.如果这个过程任意环节作恶,都可能再抢注aaaabbbbcccc这个账号,导致用户提现到一个已经不是自己账号的账号里。
可以说,“史诗级”漏洞风波在一定程度上为EOS提供了营销方面的助攻,然而好景不长,在进入6月之后,EOS的价格开始进入持续下跌的状态,截止到7月19日13时,EOS最低已跌至8.37美元/枚。
2018年8月3日 360Vulcan 团队情报称EOS 智能合约底层 asset 类存在严重缺陷
据360Vulcan 团队情报称,EOS 智能合约底层 asset 类存在严重缺陷,在数值计算时存在溢出风险,目前 360Vulcan 团队已反馈给 EOS 官方漏洞平台。这与慢雾安全团队7 月 25 日预警的 EOS 狼人游戏出现溢出攻击的根源有一定关系,狼人团队与慢雾取得联系后,与 360Vulcan 团队都通过对合约源码进行审计发现,asset 计算存在该溢出问题。
短短三个月,EOS的安全隐患问题如翻涌的潮水,一波接一波的涌入了大众的视线。
关于EOS的安全性,各路人士的观点大相径庭
360核心安全事业部安全研究员彭峙酿认为,“EOS的漏洞,大多数是软件实现上的漏洞,是所有软件项目都会面临的问题,并非EOS独有,也非公链项目独有,与DPOS机制无关,也并非区块链技术本身的缺陷。”
对于EOS漏洞频现的状况,星云链联合创始人兼CTO钟馥百认为,EOS的安全漏洞,与其安全审计有着密切的关系。
不忍直视EOS安全漏洞的康奈尔大学区块链研究员EminGünSirer,不仅曾批评EOS开发者并未及时寻求共识协议专家的帮助,更是于近期,在其Twitter中表示,“明年将会有一场大规模利用EOS漏洞的黑客攻击。”
不同于EminGünSirer的委婉,针对于EOS的安全问题,Nick Szabo直指:EOS宪法本身就是安全漏洞。
对于种种外界的批评,EOS社区负责人ThomasCox表示,任何软件都有漏洞,BP和工程师修复主网并使它重新上线预示着未来会非常好,比特币和以太坊初始阶段,由于没有人用,所以没有人理会它们的漏洞。
ThomasCox的言下之意,暗指漏洞问题稀松平常,EOS的安全性一再受到外界质疑,不无与其知名度有关。
本文来自火球财经,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。