5月29日，國內(nèi)安全標(biāo)桿企業(yè)360對外宣布公司Vulcan（伏爾甘）團隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。

5月29日下午2點，360創(chuàng)始人周鴻祎發(fā)布微博稱“360安全大腦發(fā)現(xiàn)的區(qū)塊鏈漏洞，價值超過“百億美金”，如果被非法利用，可以遠程攻擊控制和接管EOS上運行的所有節(jié)點，嚴(yán)重情況下，EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧�！�。

一、價值超“百億美金”的區(qū)塊鏈“史詩級”漏洞

360安全團隊對EOS漏洞描述如下：“我們發(fā)現(xiàn)了EOS區(qū)塊鏈系統(tǒng)在解析智能合約WASM文件時的一個越界寫緩沖區(qū)溢出漏洞,并驗證了該漏洞的完整攻擊鏈。

使用該漏洞,攻擊者可以上傳惡意的智能合約至節(jié)點服務(wù)器,在節(jié)點服務(wù)器解析惡意合約后,攻擊者就能夠在節(jié)點服務(wù)器上執(zhí)行任意代碼并完全控制服務(wù)器。

在控制節(jié)點服務(wù)器后,攻擊者可以將惡意合約打包進新的區(qū)塊,進而攻擊和控制其他新的節(jié)點,最終攻擊和控制整個EOS網(wǎng)絡(luò)�！�

具體的漏洞細節(jié)，重現(xiàn)、執(zhí)行過程感興趣的同學(xué)可以去360衛(wèi)士官網(wǎng)查看。

用周鴻祎的話來說，“如果漏洞被人利用，可以控制EOS網(wǎng)絡(luò)里面的每一個節(jié)點每一個服務(wù)器，那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點里面所有參與的服務(wù)器。拿到服務(wù)器權(quán)限，就可以為所欲為了。如果有人做一個惡意的智能合約，就能夠把里面所有的數(shù)字貨幣直接拿走了。所以這個對于區(qū)塊鏈網(wǎng)絡(luò)來說，不會有比這個更嚴(yán)重的漏洞了。

EOS現(xiàn)在的估值至少百億美金，所以這個漏洞價值百億美金并不夸張”。

二、嚴(yán)峻的區(qū)塊鏈安全

作為今年以來最為熱門的區(qū)塊鏈項目，本次EOS“史詩級”漏洞的鬧出的動靜有點大。一方面說明EOS的影響力大，另一方也說明大家對區(qū)塊鏈安全還是十分關(guān)注的。

事實上，關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問題一直以來都是熱點話題。在EOS之前，區(qū)塊鏈已經(jīng)發(fā)生了多次安全事故，比如著名的The DAO事件。

The DAO之所以被攻擊，也是由于它編寫的智能合約存在著重大缺陷。The DAO編寫的智能合約中有一個splitDAO函數(shù),攻擊者通過此函數(shù)中的漏洞重復(fù)利用自己的DAO資產(chǎn)來不斷從TheDAO項目的資產(chǎn)池中分離DAO資產(chǎn)給自己。

說起來比較繞，實際上就是The DAO的智能合約出了BUG，用戶可以不斷利用這個BUG從The DAO的資產(chǎn)池中獲取DAO資產(chǎn)。

又比如今年1月日本最大比特幣交易所之一的Coincheck新經(jīng)幣（NEM）被非法轉(zhuǎn)移至其他交易所實踐。

再比如BEC美鏈4月被黑客攻擊事件。BEC的合約代碼：Beauty Chain 美蜜出現(xiàn)嚴(yán)重bug，可以通過合約的批量轉(zhuǎn)賬的功能，無限復(fù)制token。而類似美鏈這樣的安全問題，有幾十個基于以太坊ERC20的數(shù)字貨幣都有出現(xiàn)這樣的問題。

除此之外，區(qū)塊鏈自身存在的51%攻擊，秘鑰安全隱患等問題也都時有發(fā)生。

關(guān)于區(qū)塊鏈、加密數(shù)字貨幣的安全問題，每一次事故大家都會有所警醒，有所改進。但這些警醒和改進都是暫時的，缺乏一個長期的，持續(xù)的安全管理機制。這是無法持久保證區(qū)塊鏈長期安全的。

這些區(qū)塊鏈安全，本身就是一個嚴(yán)峻的問題，也是各區(qū)塊鏈企業(yè)必須承認，面對的問題。這對安全企業(yè)來說其實是一個莫大的機會，可惜好多人都沒抓住。

EOS“史詩級”漏洞的發(fā)現(xiàn)，360再一次展示了自己在安全領(lǐng)域的技術(shù)實力，也一舉奠定了360在區(qū)塊鏈安全領(lǐng)域的領(lǐng)導(dǎo)者地位。

三、區(qū)塊鏈安全需要更多360、更多周鴻祎共同守護

周鴻祎說：區(qū)塊鏈領(lǐng)域里面，真正的安全問題其實還沒出來。通過這次披露EOS漏洞，我們希望是讓大家能夠重視區(qū)塊鏈安全問題。在網(wǎng)絡(luò)安全行業(yè)里，有兩種情況是最可怕的，一種是做沙漠里的鴕鳥，知道不改，還有一種是知道了不爆出來，最后被人利用，這兩個才是最可怕的。

之前何璽在文章中說過：在區(qū)塊鏈和加密貨幣越來越被大眾所熟知的當(dāng)下、將來，保護用戶數(shù)字資產(chǎn)安全，保障平臺系統(tǒng)安全，都是個人用戶、區(qū)塊鏈企業(yè)、政府管理層等十分關(guān)心的問題。

從用戶角度來說，區(qū)塊鏈技術(shù)越安全，使用起來才會越放心，加密貨幣也是一樣；從企業(yè)角度來說，區(qū)塊鏈技術(shù)安全是保障自身應(yīng)用系統(tǒng)安全、用戶數(shù)據(jù)資產(chǎn)安全的最基本要求，也是最高要求；從政府管理層面來說，保護公民合法數(shù)字資產(chǎn)安全，監(jiān)督企業(yè)安全運營也是基本職責(zé)。

但現(xiàn)實情況是，企業(yè)在應(yīng)用服務(wù)或交易所技術(shù)上很專業(yè)，很厲害，但在保障應(yīng)用服務(wù)和交易所安全上卻多有欠缺。The DAO和Coincheck都是例子。前者在應(yīng)用上線部署之前沒有檢查出系統(tǒng)漏洞，才會被黑客所攻擊，后者則缺乏明確的安全保護措施，未能保護好用戶數(shù)字資產(chǎn)安全。

那么該如何解決區(qū)塊鏈技術(shù)安全問題呢？

璽哥認為這需要像360這樣專業(yè)的安全服務(wù)商來做。比如360推出的基于區(qū)塊鏈安全生態(tài)的3個系統(tǒng)。括數(shù)字貨幣錢包安全審計系統(tǒng)、區(qū)塊鏈安全態(tài)勢感知系統(tǒng)和區(qū)塊鏈節(jié)點安全解決方案。

這幾個系統(tǒng)也可以看做是360針對區(qū)塊鏈企業(yè)推出的安全服務(wù)套餐，各個不同區(qū)塊鏈企業(yè)可以選擇不同的服務(wù)。這對其他區(qū)塊鏈安全企業(yè)來說也是一種啟示，區(qū)塊鏈還處于初級階段，安全市場也才開始，機會還很多。

安全廠商要做的是考慮如何保障區(qū)塊鏈創(chuàng)業(yè)者的應(yīng)用安全，從應(yīng)用開發(fā)到部署上線，再到應(yīng)用運營維護、監(jiān)測、預(yù)警、防御等，從多角度，全方位去保護企業(yè)應(yīng)用/平臺運行安全，保障用戶使用安全。

區(qū)塊鏈安全的嚴(yán)峻情況，需要更多360、更多周鴻祎一起共同守護。