360發(fā)現區塊鏈平臺EOS高危漏洞，可完全控制虛擬

5 月 29 日消息    此前，有不少數字貨幣智能合約被爆出現漏洞，日前EOS平臺也被發(fā)現存在高危漏洞。 360 安全衛士官方公眾號今天發(fā)文宣布，其安全團隊發(fā)現區塊鏈平臺EOS的一系列高危安全漏洞，其中部分漏洞可以通過(guò)遠程攻擊，直接控制和接管EOS上運行的所有節點(diǎn)。目前， 360 已經(jīng)將漏洞上報給EOS官方，EOS方面表示在修復這些問(wèn)題之前，不會(huì )將EOS網(wǎng)絡(luò )正式上線(xiàn)。

據 360 官方介紹，在攻擊中，攻擊者會(huì )構造并發(fā)布包含惡意代碼的智能合約，EOS超級節點(diǎn)將會(huì )執行這個(gè)惡意合約，并觸發(fā)其中的安全漏洞。攻擊者再利用超級節點(diǎn)將惡意合約打包進(jìn)新的區塊，進(jìn)而導致網(wǎng)絡(luò )中所有全節點(diǎn)(備選超級節點(diǎn)、交易所充值提現節點(diǎn)、數字貨幣錢(qián)包服務(wù)器節點(diǎn)等)被遠程控制。

由于已經(jīng)完全控制了節點(diǎn)的系統，攻擊者可以“為所欲為”，如竊取EOS超級節點(diǎn)的密鑰，控制EOS網(wǎng)絡(luò )的虛擬貨幣交易;獲取EOS網(wǎng)絡(luò )參與節點(diǎn)系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢(qián)包中的用戶(hù)密鑰、關(guān)鍵的用戶(hù)資料和隱私數據等等。

更為嚴重的是，攻擊者可以將EOS網(wǎng)絡(luò )中的節點(diǎn)變?yōu)榻┦W(wǎng)絡(luò )中的一員，發(fā)動(dòng)網(wǎng)絡(luò )攻擊或變成免費“礦工”，挖取其他數字貨幣。

360安全團隊表示，此次在EOS平臺的智能合約虛擬機中發(fā)現的一系列新型安全漏洞，是一系列前所未有的安全風(fēng)險，此前尚未有安全研究人員發(fā)現這類(lèi)問(wèn)題。這類(lèi)型的安全問(wèn)題不僅僅影響EOS，也可能影響其他類(lèi)型的區塊鏈平臺與虛擬貨幣應用。

發(fā)布者：水橋丶帕露西