请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

BM表示已修复所有报告BUG,中国方面的报告是将问题过度夸大

2018-5-30 15:41| 发布者: 喵喵喵| 查看: 350| 评论: 0|原作者: Shirly

摘要: 北京时间5月30日凌晨,EOS创始人BM(Daniel Larimer)在EOS开发者电报群中表示,bug在被公布前就已修复......

北京时间5月30日凌晨,EOS创始人BM(Daniel Larimer)在EOS开发者电报群中表示,bug在被公布前就已修复,中国方面的报告是FUD( Fear、Uncertainty、Doubt ,惧、惑、疑 )。Bug的问题被过度夸大,而且他们无法获取根访问。

未来任何挑起FUD的bug报告者将会被取消奖励资格。BM表示,目前他们正在设置一个安全的bug报告程序。

那么,此次对EOS造成巨大影响,致其短线跳水的中国报道究是如何发生的呢?EOS本次被发现的BUG究竟是什么?

首先,我们来还原一下中国报道的始末:

360安全卫士今日(5月29日)发布微博称,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。

经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。

受此影响,EOS短线大跌,单币价值一度跌破11美元。

随后,360创始人周鸿祎在微博表示:“360安全大脑发现的区块链漏洞,价值超过“百亿美金”,如果被非法利用,可以远程攻击控制和接管EOS上运行的所有节点,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。360从年初开始,已经在区块链安全方面做了很多研究,已经做了几个区块链安全解决方案,也包括EOS超级节点安全解决方案。


对此,EOS Beijing发表评论称,EOS目前还在“实验阶段”,存在不确定性,本身投资者应该保持理性,平常心看待。目前得到的信息看,这个漏洞还比较严重。但目前主网还没上线,这个时间点问题暴露出来,是件好事。此外,EOS能够得到主流安全服务商的深度关注,会增强大家对项目的信心。

EOS官方消息人士:BM已经修复360所曝漏洞,稍后会对该事件作出回应

那么,此次被360称为史诗级漏洞的BUG到底是怎么回事呢?

360所曝EOS漏洞是指:解析WASM文件的EOS节点程序代码中含有导致缓存溢出的漏洞。 攻击者利用这个漏洞可以触发上传精心构造的包含恶意代码的智能合约并执行(malicious smart contract),从而取得整个EOS节点平台的权限。

之前,BM曾报告了该问题代码为3498,并且在Github更新修复。
但是更新后在32位的软件并不是完美的,它依旧存在问题。

该问题是的时间线如下:
5月11日发现问题28号报告了问题。直到29日问题还是没有完美的修复。

类似EOS和ETH的智能合约平台有两部分组成:一部分是在节点本地的,执行合约和交易的虚拟机;另一部分在链上不可篡改的智能合约代码。

节点在全网部署智能合约时,一般先通过虚拟机将编程语言翻译成合约代码,存储在链上;执行时,节点将从链上获取合约代码,用本地虚拟机执行。而本地的虚拟机代码一般为开源,攻击者可以从中寻找安全漏洞并攻击。

本次EOS安全漏洞事件可理解为:360从已经开源的EOS虚拟机代码中发现安全漏洞。攻击者可以部署一个包含恶意代码的智能合约,21个超级节点中任意一个节点,会执行该智能合约,并被触发虚拟机的安全漏洞,导致节点被控制。这样,攻击者就可以通过被控制的超级节点,将恶意智能合约部署到其它20个超级节点中,从而控制所有超级节点,导致攻击者可以控制整个EOS网络。