360召开EOS漏洞发布会

　　360召开EOS漏洞发布会，币世界现场采访360技术人员

　　来源：币世界

　　作者：冯军 谭红朝 秦悦 魏庭鹏

　　近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

　　29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。

　　29日下午4点，360在总部召开EOS漏洞发布会，现场报道如下：

　　1．这个漏洞仅仅对EOS单个项目有影响还是DPOS、超级节点机制的项目？

　　答：漏洞本身针对EOS，类似漏洞也会影响其他项目。

　　2．漏洞存在多久？

　　答；从一开始就有，至少一年，但是不确定，应该从刚开始就有，发现大概半个月。漏洞攻击第一步通过漏洞上传智能合约，通过漏洞控制超级节点，攻击其他节点（如备用节点）以及攻击测试网络。目前还没上线主网。出于对用户负责，所以在主网发布前公布漏洞。

　　3．是否造成实际影响？

　　答：没有，联系了官方修改代码。

　　4．是否在其他代币存在？

　　答：有可能，但是除非用同一个代码，否则不完全会出现一模一样的。

　　5．构造恶意智能合约的内容，如果成为区块链一部分，能否回滚或逆反？

　　答：智能合约构造方式针对此漏洞，专门针对问题构造相应代码。如果漏洞造成影响控制超级节点，不对信息就会写进区块，如果要改就要回滚。

　　6．怎么传染？

　　答：可以认为是同一漏洞，超级节点解析合约，解析合约就会被控制。控制就会把恶意代码打包给其他节点，其他节点验证就会被攻击、控制，再传播。

　　7．为什么360关注区块链安全问题，后续是否关注其他？

　　答：一直关注，包括钱包、矿池等。从今年开始就在做这方面工作。eos主网快上线，代码更新快，所以对安全关注低。360也在关注其他的钱包安全，国内外钱包漏洞也很多。

　　8.EOS漏洞和传统网络问题相比如何？

　　答：虽然区块链是新的，但传统安全问题也还会遇到，还会出现新问题：如隐私，dos，所以需要强大安全措施、防御。360做基于链上的感知：1．发现漏洞攻击；2、防御手段。

　　9．为什么没提早公布发现漏洞？

　　答：漏洞过程比较复杂，没具体公布，延缓啥门槛。差不多花了一周左右时间证明漏洞可以利用。漏洞修复起来比较简单，就改一行代码。这次不光发现这个漏洞，还发现了一系列问题，准备提交eos。只先公布了最严重的安全问题和漏洞发现。

　　10.eos平台和官方如何反馈？

　　答：今天上午联系了，昨天夜里修复的，上午联系说修复了会给直切信息，现在还没看到。

　　11．简单代码修复简单，会不会影响主网上线？

　　答：上线不是我们决定的，还是看他们一系列计划。从现在看他们修复还是蛮快的，其他一系列漏洞还会陆续给，除了这个比较严重的还有其他小的，动态持续的。除了一个漏洞还有其他的，代码不断更新还会持续产生漏洞。

　　12．除了ETH，其他钱包有漏洞？

　　答：我们给20多个钱包进行了检测，发现80%的钱包都存在或多或少的漏洞。同时我们提供了解决方案。我们之前也提交了门罗币的漏洞，过几天也会提交以太坊的漏洞。

　　13．漏洞影响整体市场？

　　答：重大安全问题肯定会对数字货币一些层面产生担忧，从趋利避害角度影响市场热情。eos这种问题个人的确没办法做什么事，但是币圈的可以在从钱包、私钥选择安全性更高的，对安全性更关注点。对个人的主动攻击、钓鱼也会增多，需要增加安全意识。

　　14．区块链安全团队主力是多少？

　　答：360区块链安全团队目前有十几个人，分别从攻击的、防御的角度去做测试。

　　15.360是否存在做空EOS？

　　答：不存在做空，有漏洞就告诉官方；如果要做空的话等主节点做空之后效果更好，360团队肯定会秉着基本的职业素养。

　　16．业内安全报告给官方就好了，为什么对外公布？是否借机进军区块链安全领域？

　　答：360早就进入区块链安全行业。报告漏洞，告诉官方，说一下，在安全行业内很常规，只是这次受关注比较大。

　　17．漏洞攻击具体是怎样的？

　　答：控制超级节点很快，几秒钟就可以控制。如果不知道漏洞，反应比较困难。如果有相应安全解决方案、防护措施，有可能可以提前、事后发现。

责任编辑：何凯玲