BM谴责360制造恐慌,高调进军区块链,“史诗级漏洞”还是“史诗级营销”?
5月29日,互联网公司360霸占了所有区块链媒体的头条,不仅成功吸引了用户眼球,市场行情也跟着跌宕起伏了一把。社区认为,这可以看作是360高调宣布入局区块链的里程碑事件。
事件起源于微博账号“360安全卫士”中午发布的一则消息。消息称,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。该漏洞的重要性在于,这是在智能合约虚拟机中发现的新型安全漏洞,360团队称:“360发现区块链史诗级漏洞。”
不过,巴比特关注到,EOS开发者BM(Daniel Larimer)昨天深夜回复:在360官方发布消息前,该漏洞已被修复。
一个已被修复的漏洞是如何发酵成新闻头条的?
由于时差原因,360官方发布消息时,EOS技术团队无法及时回复,事件在不确定性当中继续发酵。尽管并未发生实质安全事故,但EOS价格在市场恐慌情绪中持续下跌,全球市场平均跌幅达8%。
新闻发布几小时后,Block.one CEO Brendan Blumer 在电报群中做出回应:“尽管我们的开发团队还正在睡觉,Block.one已经在关注所有正在被报道的事情。我们对公众的持续审查表示感谢,这也是开放源码项目能够如此强大的原因所在。让我们来关注于如何构建一个更安全的互联网以及其他建设性的事情之上;我们都感到非常激动。”
而直到新闻发布接近十小时后,BM才在电报群表示,“中国的漏洞新闻是一个FUD(可理解为制造恐慌),在新闻发布前,漏洞已经全部被修复。制造恐慌传播的bug提交者将会失去获取赏金和认可的资格。”
尽管在360发布消息之前,该漏洞已被修复,但360官方发布的稿件中却淡化了这点。在从消息发出,EOS团队无法及时回应的几个小时里,社区对漏洞事实的判断存在极大不确定性,EOS市值从104亿美元缩水至97亿美元。
360是如何发现EOS漏洞的?
下午,360安全团队的Yuki Chen和Zhiniang Peng在奇虎360技术博客中公布了发现EOS该漏洞并报告给EOS技术团队的过程。节选编译如下:
漏洞描述:
在解析WASM文件时,我们发现并成功地利用了EOS的缓冲区溢出写入漏洞。
通过这个漏洞,攻击者可以在节点服务器解析合约后,将恶意智能合约上传到节点服务器,节点服务器就会解析这个恶意合约,然后恶意合约就会在服务器上被执行,再控制该节点服务器。
在控制了节点服务器之后,攻击者可以将恶意合约打包到新的块中,并进一步控制EOS网络的所有节点。
该报告还显示,漏洞发现的时间为5月11日,360安全团队于5月29日与EOS团队进行了沟通,EOS团队修复了GitHub上的漏洞,5月29日,注意到该漏洞并未修复完成。
在报告内附的360安全团队与BM的对话截图中可以得知,在知晓了该漏洞存在后,BM表示不会在漏洞修复完成之前发布EOS主网。同时希望360团队私下将漏洞报告给他,因为有些人正在使用公共测试网络。聊天截图的最后显示,该漏洞已被修复。
存在“史诗级漏洞”的EOS有归零风险吗?
360官方团队发布的消息用“史诗级“描述了该漏洞,并称“足以轰瘫整个数字货币体系”,“可完全控制虚拟货币交易”。
该事件引发了社区的热烈讨论。慢雾科技联合创始人余弦谈到,360 发现的这个漏洞确实很严重,本质应该就是:恶意合约->合约虚拟机穿透->控制服务器。同时,他还透露了EOS 超级节点攻击的几个入口,包括:1. P2P 端口;2. RPC 端口;3. 恶意智能合约;4. 服务器与集群等其他缺陷;5. 人员安全缺陷。
所谓“史诗级”漏洞的影响到底有多大?随着恐慌情绪在社区发酵,关于EOS归零的言论甚嚣尘上。参与EOS超级节点的欧链科技告诉巴比特,“EOS不会归零,”同时,欧链科技肯定了360公布此漏洞的态度,并认为这是对EOS甚至未来区块链安全的长久利好。
“a)首先漏洞在EOS正式上线前公布,避免了EOS上线后被0day攻击的可能。可以设想,如果这个漏洞被其他的黑客首先发现或者利用,会对整个项目产生不可挽回的破坏。
b)在EOS官方尚未对该漏洞进行恢复前,360并未公布太多该漏洞的细节,也避免了这一漏洞被恶意利用的可能。
c)目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目,正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。”
不过,社区也有部分意见认为,360官方对该漏洞的评价过于严重,不乏有借势炒作之嫌。
比原链创始人段新星发布微博评价,
“大致看了下,就是一个利用数组越界漏洞可导致内存溢出,获得超级权限覆盖掉WASM,填写新的可执行代码进去,进行恶意操作。这种漏洞很常见的,怎么就变成史诗级的了。BM第一次是加了Assert判定检查(很遗憾失效了,可能哪儿没修干净)其实也可以包一个安全函数来操作,我觉得这个漏洞倒不难改。”
CSDN副总裁孟岩在公开采访时表示,
“该事件体现了360安全团队的实力,也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但360的宣布用词夸张,公关渲染痕迹严重,如果能够平实一些,细节多一些会更好。”
“史诗级”营销:360是最大赢家?
一片慌乱中,事件的另一方360,已经为自己赚足了眼球。
下午,360公司董事长兼CEO周鸿祎发布微博称,360已经做了EOS超级节点安全解决方案,
“360安全大脑发现的区块链漏洞,价值超过“百亿美金”,如果被非法利用,可以远程攻击控制和接管EOS上运行的所有节点,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。360从年初开始,已经在区块链安全方面做了很多研究,已经做了几个区块链安全解决方案,也包括EOS超级节点安全解决方案。”
随后,当天下午,多家区块链相关公司相继宣布与360达成合作:
欧链科技将与360合作,利用360安全大脑,共同打造EOS超级节点安全解决方案,合作内容包括360安全大脑向欧链科技提供区块链安全技术,以及提供区块链安全服务等;
EOSLaoMao也宣布与360达成战略合作,共同成立研发团队,在网络安全维护、攻落攻击预警方面做努力;
币安宣布与360达成安全方面深度合作,360将为币安提供一系列智能合约代码审计服务和长期安全检测服务。
同期,360在北京总部召开了有关EOS此次漏洞的媒体沟通会,分析了漏洞细节,对漏洞攻击进行了现场展示,并表示已经给20多个钱包进行了检测,发现80%的钱包都存在或多或少的漏洞。在此之前,360已经提交了门罗币的漏洞,过几天还会提交以太坊的漏洞。
晚间,据媒体消息,360宣布将依托360安全大脑积累,在物理安全、平台安全、网络安全、系统安全、应用安全和数据安全六方面进行防御部署。
360在短短一个下午完成了披露提供EOS超级节点安全解决方案,组织漏洞分析媒体沟通会,以及公告与多家区块链行业企业达成安全方面的合作。此举被认为是360借势为进军区块链做了一场免费又声势浩大的“史诗级“营销。
区块链安全是一个值得深入探讨并重视的话题。区块链开发过程中存在bug在所难免,项目团队应及时自查,发现修补,投资者也无须过度恐慌。同时,借势营销应当有度,不应以扰乱市场为代价。
不过,360此番借势营销的本质,可以视为传统互联网领域有巨大体量的安全技术公司已经正式介入区块链。尽管半个区块链社区都为EOS揪了一把心,但长远来看,对EOS乃至整个区块链生态建设未尝不是一件好事。
不过眼下,社区更关心的问题可能是,在该事件影响下,EOS主网上线会否推迟?你怎么看?
信息首发:BM谴责360制造恐慌,高调进军区块链,“史诗级漏洞”还是“史诗级营销”?