360公司发现EOS系列高危安全漏洞 EOS等众多虚拟货币应声大跌 - 安防知识网

截至发稿时，据金色财经行情数据，EOS币最低报于70.14元，当日下跌约10%，后又拉升至76.37元，跌幅收窄至2.05%。

　　5月29日，360安全卫士公众号发表文章，称360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。

　　据悉，EOS是被称为“区块链3.0”的新型区块链平台，目前其代币市值高达690亿人民币，在全球市值排名第五。

　　漏洞或导致虚拟货币交易被完全控制

　　360表示，在攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

　　由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

　　更有甚者，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。

　　此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞，是一系列前所未有的安全风险，此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS，也可能影响其他类型的区块链平台与虚拟货币应用。

　　众多虚拟币投资者现恐慌性抛售

　　消息一出，众多虚拟币投资者现恐慌性抛售，受此影响，EOS币价应声大跌，一度触底。截至发稿时，据金色财经行情数据，EOS币最低报于70.14元，当日下跌约10%，后又拉升至76.37元，跌幅收窄至2.05%。

　　相对于散户而言，熟知区块链技术的圈内大咖则表现得更为理性。

　　欧链科技首席科学家、联合创始人谭智勇表示，“应用程序出现漏洞，修复漏洞是非常正常的事情。目前360这样巨大体量的安全公司开始以公益性的方式介入到EOS等公链项目，正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于EOS这样的公链项目，长期来看是个利好。”

　　EOS Beijing联合创始人李想也认为EOS上线前发现漏洞属于正常现象。“主网还没上线，现在就是发现漏洞并修复的阶段”。

　　EOS一直重视修复漏洞，几天前曾宣布拿出现金奖励漏洞发现者。据有关媒体报道，EOS创始人5月27日在EOS开发者群发布消息称，将会奖励发现并提交Bug的人。这些漏洞主要特点包括：通过P2P插件或RPC接口使节点系统崩溃；使智能合约陷入死循环；使智能合约占用大量内存（大于64MB）；利用智能合约使节点系统崩溃；对账户进行未授权的操作；使智能合约运行时间超过规定时间10ms以上。

　　BM还提到，提供有价值的漏洞会获得10000美元的报酬，BM团队负责评估漏洞的价值，这项奖励措施会随时停止。