主页 > imtoken安全下载 > 以太坊、EOS频爆漏洞,区块链安全如何解决?丨大文观链
以太坊、EOS频爆漏洞,区块链安全如何解决?丨大文观链
链得得一域一区块链世界,春风为谁来。
EOS还有一个重大的安全漏洞,与智能合约无关,官方目前还没有完全修复。
. 经验证,部分漏洞可在EOS节点上远程执行任意代码,即通过远程攻击,直接控制和接管EOS上运行的所有节点。
周鸿祎随后在微博上表示,360从年初开始就在区块链安全方面做了大量研究,做出了多个区块链安全解决方案,包括EOS超级节点安全解决方案。
近几个月来,市场上的公链项目和虚拟货币爆出多个漏洞。 最严重的BEC已经直接“归零”了。 其他遭受严重损失的项目包括SMT和其他大量继续使用ERC20系统的项目。 项目。
事实上,在漏洞曝光后,业界也发现以太坊上多达十几个其他合约也使用了导致BatchOverFlow漏洞的transferProxy函数。 该漏洞允许攻击者创建大量代币,从而破坏整个代币系统。
攻击发生在上个月,就在上周,EDU 和 BAI 也遭到了黑客攻击。 在EDU智能合约的transferFrom函数中,allowed[_from][msg.sender] >= _value 未验证,allowed[_from][msg.sender] -= _value; 函数中没有使用SafeMath,导致无法抛出异常并回滚交易,并且由于合约没有Pause设计,无法及时止损。 黑客利用该漏洞获取了30亿代币并成功转移。 BAI表示,自己也遭到了类似的攻击,这个问题可能还会影响到所有的ERC20项目。
这不是以太坊智能合约第一次出现问题。 2016年,在DAO事件中,黑客利用DAO智能合约的漏洞,大规模窃取了原DAO智能合约中的以太坊,对以太坊造成了严重的破坏。 造成了巨大的打击。
这些攻击对整个以太坊和ERC20系统造成了前所未有的打击。 由于所有的漏洞都集中在智能合约上,而智能合约是区块链技术能否进入商业应用阶段(或称为区块链3.0)的关键,以太坊和ERC20币的价格也在几内呈现日内呈下降趋势。
智能合约频繁出现问题的原因有很多,但主要可以归纳为以下几点:
首先,智能合约是不可逆的,即一旦部署了智能合约,基金会就无法对其进行升级或修改。 因此,在部署和使用智能合约之前,需要确保一切正确。
其次以太坊链是erc20,智能合约是公开可访问的,智能合约中存储的内容对任何人都是可见的,每个人都可以调用智能合约中的方法,这也使得智能合约成为了区块链蛋上的一条缝。
此外,只有上帝编写的代码是没有错误的。 无论您多么小心,要使智能合约真正无懈可击几乎是不可能的。
最后,在以太坊和ERC20系统中,由于EVM本身的特性,智能合约往往缺乏形式化验证。 这也对智能合约的安全性提出了更大的挑战。
正当外界猜测EOS是否存在与ERC20类似的漏洞时,360今日晚些时候更新了技术博客,公布了漏洞的具体细节。 根据技术博客内容,360于5月11日发现该漏洞,并于5月28日将该漏洞报告给EOS。29日,EOS修复了该漏洞,但根据反馈,目前64位已修复,而32位的还没有修复。
360在博客中表示,这是std::vector函数溢出导致的漏洞。 在libraries/chain/webassembly/binaryen.cpp(第78行)中,函数binaryen_runtime::instantiate_module:
在 POC 中,只需设置 |offset| 字段为 0xffffffff,函数将溢出并崩溃。 攻击者可以利用该漏洞,通过向受害节点上传恶意合约,让受害节点解析恶意合约,实现nodeos进程远程代码执行。
在攻击中以太坊链是erc20,攻击者首先向EOS主网发布恶意合约。 EOS超级节点解析恶意合约,进而触发漏洞,攻击者可以控制解析合约的EOS超级节点。 攻击者可以窃取超级节点的私钥并控制打包内容。 更重要的是,攻击者可以将恶意合约打包成区块发布,最终导致全网所有节点都被攻击者控制。
TASChain创始人吴宜群告诉链得得,“这是一个小问题,但会引发大问题,这种问题很容易解决,但后果可能非常严重。”
量子链创始人帅初在朋友圈表示,该漏洞应该与webassembly的新虚拟机和免gas模型有关。 远程代码被vm编译后,会无限执行下去。 他认为,该漏洞容易出现在支持虚拟机的合约平台上,而智能合约无限的灵活性也留下了无限的隐患。 任何一个小的共识协议的疏忽都将有机会使整个区块链网络被ddos。 这个漏洞的根本原因是“ETH和EOS不是为货币设计的,而是为区块链平台设计的。设计非常复杂,包含更多的安全隐患。之前的无限btc也是因为一个共识bug。网络将被被ddos瘫痪了。”
快的创始人、泛城投资创始人陈伟星在朋友圈炮轰EOS,称“EOS堪称区块链毒瘤,是没有理想主义的极端炒作收银员,是区块链共识的最大破坏者”,“一个几千万人民币就能搞定的技术,真的有必要让大家这么开心吗?” 他还列举了EOS的四大罪过:
1、筹资近30亿美元,彻底销声匿迹;
2、一年365天都是ico,不知道投资的方向和目的;
3、dpos过于中心化,技术漏洞百出,过度包装;
4.炒币和所谓的超级节点大部分来自中国,超级节点的本质是一群利益共同体的炒作;
在本次漏洞事件中,EOS官方并未彻底修复漏洞,360方面表示,其手中还有不少EOS漏洞。 EOS将如何度过这场危机? 我们拭目以待。 (本文为链得得app首发,作者丨大文)
一区块一链的世界,春风为谁而来!
点击阅读原文下载最快、最权威、最有深度的区块链财经媒体“链得得APP”。
