5月29日，國(guó)內(nèi)安全標(biāo)桿企業(yè)360對(duì)外宣布公司Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。

5月29日下午2點(diǎn)，360創(chuàng)始人周鴻祎發(fā)布微博稱“360安全大腦發(fā)現(xiàn)的區(qū)塊鏈漏洞，價(jià)值超過(guò)“百億美金”，如果被非法利用，可以遠(yuǎn)程攻擊控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)，嚴(yán)重情況下，EOS乃至整個(gè)虛擬貨幣市場(chǎng)都會(huì)遭遇滑鐵盧�！�。

一、價(jià)值超“百億美金”的區(qū)塊鏈“史詩(shī)級(jí)”漏洞

360安全團(tuán)隊(duì)對(duì)EOS漏洞描述如下：“我們發(fā)現(xiàn)了EOS區(qū)塊鏈系統(tǒng)在解析智能合約WASM文件時(shí)的一個(gè)越界寫緩沖區(qū)溢出漏洞,并驗(yàn)證了該漏洞的完整攻擊鏈。

使用該漏洞,攻擊者可以上傳惡意的智能合約至節(jié)點(diǎn)服務(wù)器,在節(jié)點(diǎn)服務(wù)器解析惡意合約后,攻擊者就能夠在節(jié)點(diǎn)服務(wù)器上執(zhí)行任意代碼并完全控制服務(wù)器。

在控制節(jié)點(diǎn)服務(wù)器后,攻擊者可以將惡意合約打包進(jìn)新的區(qū)塊,進(jìn)而攻擊和控制其他新的節(jié)點(diǎn),最終攻擊和控制整個(gè)EOS網(wǎng)絡(luò)。”

具體的漏洞細(xì)節(jié)，重現(xiàn)、執(zhí)行過(guò)程感興趣的同學(xué)可以去360衛(wèi)士官網(wǎng)查看。

用周鴻祎的話來(lái)說(shuō)，“如果漏洞被人利用，可以控制EOS網(wǎng)絡(luò)里面的每一個(gè)節(jié)點(diǎn)每一個(gè)服務(wù)器，那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點(diǎn)里面所有參與的服務(wù)器。拿到服務(wù)器權(quán)限，就可以為所欲為了。如果有人做一個(gè)惡意的智能合約，就能夠把里面所有的數(shù)字貨幣直接拿走了。所以這個(gè)對(duì)于區(qū)塊鏈網(wǎng)絡(luò)來(lái)說(shuō)，不會(huì)有比這個(gè)更嚴(yán)重的漏洞了。

EOS現(xiàn)在的估值至少百億美金，所以這個(gè)漏洞價(jià)值百億美金并不夸張”。

二、嚴(yán)峻的區(qū)塊鏈安全

作為今年以來(lái)最為熱門的區(qū)塊鏈項(xiàng)目，本次EOS“史詩(shī)級(jí)”漏洞的鬧出的動(dòng)靜有點(diǎn)大。一方面說(shuō)明EOS的影響力大，另一方也說(shuō)明大家對(duì)區(qū)塊鏈安全還是十分關(guān)注的。

事實(shí)上，關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問(wèn)題一直以來(lái)都是熱點(diǎn)話題。在EOS之前，區(qū)塊鏈已經(jīng)發(fā)生了多次安全事故，比如著名的The DAO事件。

The DAO之所以被攻擊，也是由于它編寫的智能合約存在著重大缺陷。The DAO編寫的智能合約中有一個(gè)splitDAO函數(shù),攻擊者通過(guò)此函數(shù)中的漏洞重復(fù)利用自己的DAO資產(chǎn)來(lái)不斷從TheDAO項(xiàng)目的資產(chǎn)池中分離DAO資產(chǎn)給自己。

說(shuō)起來(lái)比較繞，實(shí)際上就是The DAO的智能合約出了BUG，用戶可以不斷利用這個(gè)BUG從The DAO的資產(chǎn)池中獲取DAO資產(chǎn)。

又比如今年1月日本最大比特幣交易所之一的Coincheck新經(jīng)幣（NEM）被非法轉(zhuǎn)移至其他交易所實(shí)踐。

再比如BEC美鏈4月被黑客攻擊事件。BEC的合約代碼：Beauty Chain 美蜜出現(xiàn)嚴(yán)重bug，可以通過(guò)合約的批量轉(zhuǎn)賬的功能，無(wú)限復(fù)制token。而類似美鏈這樣的安全問(wèn)題，有幾十個(gè)基于以太坊ERC20的數(shù)字貨幣都有出現(xiàn)這樣的問(wèn)題。

除此之外，區(qū)塊鏈自身存在的51%攻擊，秘鑰安全隱患等問(wèn)題也都時(shí)有發(fā)生。

關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問(wèn)題，每一次事故大家都會(huì)有所警醒，有所改進(jìn)。但這些警醒和改進(jìn)都是暫時(shí)的，缺乏一個(gè)長(zhǎng)期的，持續(xù)的安全管理機(jī)制。這是無(wú)法持久保證區(qū)塊鏈長(zhǎng)期安全的。

這些區(qū)塊鏈安全，本身就是一個(gè)嚴(yán)峻的問(wèn)題，也是各區(qū)塊鏈企業(yè)必須承認(rèn)，面對(duì)的問(wèn)題。這對(duì)安全企業(yè)來(lái)說(shuō)其實(shí)是一個(gè)莫大的機(jī)會(huì)，可惜好多人都沒抓住。

EOS“史詩(shī)級(jí)”漏洞的發(fā)現(xiàn)，360再一次展示了自己在安全領(lǐng)域的技術(shù)實(shí)力，也一舉奠定了360在區(qū)塊鏈安全領(lǐng)域的領(lǐng)導(dǎo)者地位。

三、區(qū)塊鏈安全需要更多360、更多周鴻祎共同守護(hù)

周鴻祎說(shuō)：區(qū)塊鏈領(lǐng)域里面，真正的安全問(wèn)題其實(shí)還沒出來(lái)。通過(guò)這次披露EOS漏洞，我們希望是讓大家能夠重視區(qū)塊鏈安全問(wèn)題。在網(wǎng)絡(luò)安全行業(yè)里，有兩種情況是最可怕的，一種是做沙漠里的鴕鳥，知道不改，還有一種是知道了不爆出來(lái)，最后被人利用，這兩個(gè)才是最可怕的。

之前何璽在文章中說(shuō)過(guò)：在區(qū)塊鏈和加密貨幣越來(lái)越被大眾所熟知的當(dāng)下、將來(lái)，保護(hù)用戶數(shù)字資產(chǎn)安全，保障平臺(tái)系統(tǒng)安全，都是個(gè)人用戶、區(qū)塊鏈企業(yè)、政府管理層等十分關(guān)心的問(wèn)題。

從用戶角度來(lái)說(shuō)，區(qū)塊鏈技術(shù)越安全，使用起來(lái)才會(huì)越放心，加密貨幣也是一樣；從企業(yè)角度來(lái)說(shuō)，區(qū)塊鏈技術(shù)安全是保障自身應(yīng)用系統(tǒng)安全、用戶數(shù)據(jù)資產(chǎn)安全的最基本要求，也是最高要求；從政府管理層面來(lái)說(shuō)，保護(hù)公民合法數(shù)字資產(chǎn)安全，監(jiān)督企業(yè)安全運(yùn)營(yíng)也是基本職責(zé)。

但現(xiàn)實(shí)情況是，企業(yè)在應(yīng)用服務(wù)或交易所技術(shù)上很專業(yè)，很厲害，但在保障應(yīng)用服務(wù)和交易所安全上卻多有欠缺。The DAO和Coincheck都是例子。前者在應(yīng)用上線部署之前沒有檢查出系統(tǒng)漏洞，才會(huì)被黑客所攻擊，后者則缺乏明確的安全保護(hù)措施，未能保護(hù)好用戶數(shù)字資產(chǎn)安全。

那么該如何解決區(qū)塊鏈技術(shù)安全問(wèn)題呢？

璽哥認(rèn)為這需要像360這樣專業(yè)的安全服務(wù)商來(lái)做。比如360推出的基于區(qū)塊鏈安全生態(tài)的3個(gè)系統(tǒng)。括數(shù)字貨幣錢包安全審計(jì)系統(tǒng)、區(qū)塊鏈安全態(tài)勢(shì)感知系統(tǒng)和區(qū)塊鏈節(jié)點(diǎn)安全解決方案。

這幾個(gè)系統(tǒng)也可以看做是360針對(duì)區(qū)塊鏈企業(yè)推出的安全服務(wù)套餐，各個(gè)不同區(qū)塊鏈企業(yè)可以選擇不同的服務(wù)。這對(duì)其他區(qū)塊鏈安全企業(yè)來(lái)說(shuō)也是一種啟示，區(qū)塊鏈還處于初級(jí)階段，安全市場(chǎng)也才開始，機(jī)會(huì)還很多。

安全廠商要做的是考慮如何保障區(qū)塊鏈創(chuàng)業(yè)者的應(yīng)用安全，從應(yīng)用開發(fā)到部署上線，再到應(yīng)用運(yùn)營(yíng)維護(hù)、監(jiān)測(cè)、預(yù)警、防御等，從多角度，全方位去保護(hù)企業(yè)應(yīng)用/平臺(tái)運(yùn)行安全，保障用戶使用安全。

區(qū)塊鏈安全的嚴(yán)峻情況，需要更多360、更多周鴻祎一起共同守護(hù)。