前阿里云风控反欺诈负责人:周鸿祎夸大了EOS安全漏洞的威胁

2018-06-02 21:29 来源:易采站长站 作者:秋军 点击: 评论:

A-A+

周鸿祎

起于玉红放言“空气币”,爆于360公布“史诗级漏洞”,EOS陷入的这场舆论风暴很难让人不“阴谋论”,毕竟距离6月2日其主网上线没几天了。

EOS此次被爆出的安全漏洞究竟是否如周鸿祎所言,黑客可以为所欲为?曲速未来创始人&CEO侯欣杰在接受节点财经专访时给出的答案是:没那么夸张。

侯欣杰于2007年加入阿里集团安全中心成为第4号员工,也是阿里云创始成员;他设计了阿里集团第一套白盒代码审计系统,并曾多年担任阿里云计算安全风控欺诈技术负责人——该安全体系承载着每年天猫双11活动的数百亿访问风控安全对抗。

我们先来回顾此次“EOS漏洞”事件始末。(了解的可自行跳过)

5月25日,360发布区块链安全态势感知系统,正式涉足区块链安全领域,并连续发布多条加密货币钱包、区块链项目漏洞,以及钓鱼与空投骗术的信息。

5月28日,3点钟社群发起人玉红在2018中国国际大数据产业博览会上表示:EOS是全球最大的的空气币和传销币。

5月29日,360称其Vulcan(伏尔甘)团队发现了EOS一系列高危安全漏洞,其中部分漏洞可在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。当天,360董事长周鸿祎微博表示,他们发现的EOS漏洞价值超“百亿美金”。

5月30日,BM在EOS开发者电报群中表示,bug在被公布前就已修复,但(被360)过度夸大。当天,周鸿祎答王峰十问,称EOS漏洞为史诗级漏洞,“于区块链网络来说,不会有比这个更严重的漏洞了”。

是玉红给自己发起孵化的XMX吸粉,还是360为自家的区块链安全业务造势?是周鸿祎违背道义还是BM人品恶劣?各路人士众说纷纭。

DFUND创始人赵东在朋友圈直言不讳:不管360什么目的(我们不要怀疑别人做事的动机),我至少确定一点:根据gitHub代码提交时间可知,BUG修复在360向BM汇报BUG之后而非之前。BM在睁着眼睛说瞎话,人品极其不可靠。

侯欣杰则认为,黑客要想利用该漏洞盗取EOS,在实操层面并没有周鸿祎所说的那么容易。

EOS存在“史诗级漏洞”会被全部盗走?

侯欣杰:没那么夸张

在昨日答王峰十问时,周鸿祎解释了360所爆EOS的安全漏洞到底有多严重:如果漏洞被人利用,(黑客)可以控制EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。(黑客)拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。

在侯欣杰看来,这的确是个安全漏洞,但其实没有周鸿祎所说的“史诗级”那么严重:黑客想要通过此次爆料的漏洞获取用户数字货币,起码在EOS启动回滚之前,没有足够时间完成操作。

“首先,EOS有21个节点与若干备选节点,而要发生周鸿祎所说的后果,(黑客)首先需要提交一个攻击合约,然后让其中一个节点运行这个合约,只有在节点运行这个合约的时候才能被攻击,也就是说每次攻击只能控制1个节点。这意味着,要盗走数字货币,必须让所有节点全部运行这个攻击合约,而现实往往会这一次攻击时可能是A节点运行该攻击合约,被控制了,下一次该节点可能就变成备选了,那对应的这次攻击也就无效了,而且还要保障在此期间不被发现。要知道,合约和区块数据都是公开的,仅在众目睽睽之下攻击别人不被发现这一点就极其难实现。此前BEC合约出现安全漏洞,在短短20分钟内就被归零了,就是因为被发现了。

其次,并不是控制了所有的节点就能为所欲为,因为节点只负责产生区块,而维护区块链安全运行是由整个网络完成的,也就是说如果出现一个不合法的区块想要欺骗整个区块链网络,几乎不可能;目前区块的数据都是基于hash和数字签名的方式,控制了节点不代表就能修改里面的数据,包括给自己增加coin,偷别人的coin等等操作,因为要偷别人钱包里面的钱得必须要有钥匙,节点是没有钥匙的。

第三,假如前面所有攻击都顺利完成了,攻击者通过此漏洞给自己钱包增加了EOS,但是他需要通过交易所来实现快速套现。攻击者必须先把自己的EOS从钱包转入交易所,通过交易所的交易来转移资产,而交易所本身对风险交易是有风控的(曲速未来已与多家知名交易所逐步展开合作中),超大额交易是会被监控的。比如币安之前的问题,就是攻击者操控了多个账户做恶意交易,也就是说前提是攻击者需要准备足够多的小号。曲速未来会与交易所合作提供同人同机识别服务,能够检测出恶意交易。在恶意交易完成之前,交易所有能力冻结风险账户,包括提币提现操作,回滚交易等等都足以让攻击无效,BEC就是很好的例子。

简单来说,想要利用此次漏洞盗取EOS,要绕过以上制约而且必须要在20分钟乃至更短时间内完成以上所有操作。”

 如何看待360官方公开EOS安全漏洞?

侯欣杰:EOS可以送一封律师函

【易采站长站编辑:秋军】

  • 0
  • 0
  • 投稿