是敌人还是盟友,BM指360漏洞报告是蓄意制造恐慌?

链上观
链上观 得得号

May 31, 2018 作链上观,任尔东南西北风。

摘要: 事情的关键正如BM定性的那样,此次漏洞事件并非“BUG”而是一个“FUD”即制造恐慌:

昨天(5月29日),互联网安全领域巨头奇虎360公司Vulcan(伏尔甘)团队宣布发现区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

换句话理解,360可以从开源的EOS虚拟机代码中发现安全漏洞,攻击者可以部署一个包含恶意代码的智能合约,一旦21个超级节点中任意一个执行了该智能合约,攻击者就可以通过被控制的超级节点,将恶意智能合约部署到其他20个超级节点中,从而控制整个EOS网络。 

这个号称史诗级的安全漏洞,在奇虎360创始人周鸿祎看来价值超过“百亿美金”,如果被非法利用可导致整个虚拟货币市场遭遇滑铁卢。360也表示第一时间将此漏洞上报给了EOS官方,并协助其修复漏洞。

事实上,高危漏洞被爆出后,市场就出现诸多唱空声音。泛城投资创始人陈伟星评论称EOS堪称区块链毒瘤,三点钟社群创始发起人玉红也表示EOS是最大的传销币和空气币。市场出现了大量质疑EOS募集近30亿美元不知去向的声音,甚至传闻EOS主网将推迟上线,致使EOS一度跌破11美元,跌幅达到6%。

不过,今日凌晨,EOS创始人BM在EOS开发者群里做出回应:这是一个较为常见的漏洞,且在360公开以前就已经被修复。BM称该漏洞并不能改写可执行内存,且不能获得ROOT权限,除非部署节点时就已经是以ROOT身份来运行,且大部分漏洞来源于第三方代码库而非EOS核心代码。

针对此,前360首席科学家,现区块链安全公司PeckShied蒋旭宪教授在朋友圈表示,漏洞本身是平台级的,质量也确实高,毋庸置疑。PeckShied安全专家对nodeos代码库进行了分析,并成功重现了360曝光的恶意智能合约致使EOS客户端崩溃的问题。该漏洞并非BM所说必须以ROOT身份或者代码来源问题等,其真实性和专业性不容质疑。 

事情的关键正如BM定性的那样,此次漏洞事件并非“BUG”而是一个“FUD”即制造恐慌:

1、踩着“恐慌”的时间节点。360选择了EOS主网上线前三天曝光漏洞。如此关键时期,草木皆兵,一个是传统互联网领域的安全巨头,在安全领域的权威性品牌形象,一个是牵扯30亿美元在数字货币市场市值排名第五的热门项目。尽管此前对EOS的质疑声音不少,但360站出来,其威慑力自然不可小觑。据360方面称,其在年初就已经开始区块链安全研究工作,想必该漏洞也不是这一两天才发现的(360已经准备好了解决方案),那为何偏偏选择在主网上线前的关键时刻进行曝光?况且漏洞本身已经被修复,360应该考虑到这会给市场带来的震荡影响。

2、过于密集的媒体负面报道。假使漏洞是昨天刚发现的,360也表示第一时间上报给了EOS团队,但从BUG提交到美国EOS团队回应前,至少需要几个小时的时间差。在此危机真空期,360不曾和EOS团队同步媒体曝光细节并作预警,就大肆展开媒体报道,确实制造了市场盲目恐慌。尽管360不承认有做空行为,但实际产生了一些做空效应。

3、是敌人还是盟友?吊诡的是,漏洞刚爆出不久,老猫(EosLaoMao)等超级节点就开始站队了,表示将和360区块链安全持续保持沟通,深入探讨安全的重要性。OracleChain也宣布与360战略合作,表示双方将共同发布EOS超级节点安全解决方案细节。就在漏洞情况EOS官方明确表态还没给出的情况下,360安全就已经以护航者的姿态渗透进EOS的超级节点生态当中了,这一波操作堪称完美。当然于超级节点而言抱360大腿是为了借势赢得节选,那么360又是为了什么呢?代号“伏尔甘”,很容易让人联想到吃鸡游戏中的“伏地魔”,一直深藏不露,关键时候挺身而出致命一击,最后吃鸡!

恰如,量子链帅初在微信群里表示,该漏洞在支持虚拟机的合约平台上容易发生,智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽,都会有机会ddos整个区块链网络。

ETH、EOS等智能合约开放平台,近两年取得了野蛮式的快速成长,但作为一个区块链生态公链,未来做DAPP开发影响的会是数以千计的项目。因此平台成长过程中的生态安全问题至关重要。由于智能合约有不可逆、公开访问等特性,时不时有BUG爆出来也正常,需要第三方安全公司参与进来做智能合约审计和纠错。

写在最后:

金庸在《天龙八部》作品中塑造了一个“假传消息”者的形象,他怂恿“带头大哥”造成雁门关灭门惨案,成了终生无法挽回的过错。这个假传消息者大家都知道是慕容复之父慕容博,其与萧峰、萧远山、鸠摩智被金庸小说读者誉为“天龙四绝”。脆弱的智能合约生态初期,需要这样的“绝世高手”,但是拯救武林还是毁灭江湖,高手的节点性意义可想而知。

这两天流行一个段子,“链圈在后方打怪升级,币圈在前方送人头”补充一句,古典互联网的爸爸们,就别制造网络卡顿了。 

不过,整体而言,作为第三方安全领域的技术公司,能以更专业、更权威的姿态第一时间曝光安全漏洞,解读漏洞威胁,维护区块链安全生态,这是好事。媒体更应该看到,360布局区块链生态安全给整个行业带来的利好因素,而不是一味的炒作和炮制恐慌情绪。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 链上观 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信