360發(fā)現(xiàn)區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞，安全問題不容忽視

360安全衛(wèi)士于2018年5月29日下午在微博上發(fā)布公告稱，360Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過(guò)遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。一石激起千層浪，這個(gè)消息在網(wǎng)上立馬引起了軒然大波。

與此同時(shí)，《中國(guó)經(jīng)營(yíng)報(bào)》記者注意到之前360公司對(duì)區(qū)塊鏈興趣并不大，是什么促使其對(duì)區(qū)塊鏈大為改觀，積極入局呢？

致命漏洞事件全回放

“我們從今年年初開始，就已經(jīng)關(guān)注和研究區(qū)塊鏈安全問題了，這次EOS的漏洞，Vulcan（伏爾甘）團(tuán)隊(duì)在5月初就發(fā)現(xiàn)了。之后半個(gè)月里，團(tuán)隊(duì)繼續(xù)研究了漏洞會(huì)被如何利用。在28日晚上，Vulcan（伏爾甘）團(tuán)隊(duì)把完整利用漏洞的演示視頻，還有漏洞相關(guān)代碼細(xì)節(jié)提交給了EOS團(tuán)隊(duì)，并在29日凌晨協(xié)助EOS團(tuán)隊(duì)進(jìn)行了修復(fù)。“360公司Vulcan（伏爾甘）團(tuán)隊(duì)負(fù)責(zé)人、360助理總裁、首席安全工程師鄭文彬在接受《中國(guó)經(jīng)營(yíng)報(bào)》記者采訪時(shí)解釋了此次發(fā)現(xiàn)漏洞的具體細(xì)節(jié)。

據(jù)鄭文彬介紹，這次EOS的漏洞屬于緩沖區(qū)溢出的漏洞。在64位系統(tǒng)里面，想要進(jìn)行遠(yuǎn)程攻擊的難度實(shí)際上比較大，因?yàn)橹?，EOS為了加快合約執(zhí)行速度引入了wasm虛擬機(jī)，這樣可以幫助EOS的TPS（每秒提交交易數(shù)量）相比其他區(qū)塊鏈平臺(tái)要高得多，但與此同時(shí)，其實(shí)是犧牲了一定的安全性，這個(gè)wasm虛擬機(jī)能讓攻擊者更容易實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼?！斑@次發(fā)現(xiàn)的漏洞修復(fù)起來(lái)不太復(fù)雜，在我們給EOS團(tuán)隊(duì)提交之后，已經(jīng)配合他們完成了修復(fù)。

在最近瘋魔區(qū)塊鏈行業(yè)的EOS主網(wǎng)6月1日上線前夕，傳出了如此重大的高危漏洞。比起是否會(huì)對(duì)區(qū)塊鏈行業(yè)造成沖擊，區(qū)塊鏈的安全性問題變得更加發(fā)人深思。

鄭文彬告訴記者，區(qū)塊鏈技術(shù)和其他互聯(lián)網(wǎng)技術(shù)一樣，都是基于軟件，是通過(guò)代碼寫程序來(lái)實(shí)現(xiàn)功能的。只要是編程的東西，一定會(huì)存在各式各樣的漏洞，所以不僅僅是EOS，其他區(qū)塊鏈產(chǎn)品和服務(wù)，也都可能存在各種安全隱患。今天發(fā)現(xiàn)的是EOS漏洞，但實(shí)際上他們也發(fā)現(xiàn)過(guò)很多其他的，比如錢包、礦池甚至智能合約都存在嚴(yán)重的安全漏洞。

值得注意的是，昨日360在微博發(fā)布的重大漏洞公告中提及攻擊者有可能可以利用此次EOS漏洞致使網(wǎng)絡(luò)中的節(jié)點(diǎn)變?yōu)榻┦W(wǎng)絡(luò)中的一員，從而發(fā)動(dòng)網(wǎng)絡(luò)攻擊。鄭文彬告訴記者，如果利用此次漏洞去發(fā)起攻擊，不僅僅是上述提到的51%，甚至于控制EOS所有節(jié)點(diǎn)也并非不可能。“不管是利用來(lái)作為僵尸網(wǎng)絡(luò)的一員還是做其他事情，都是可以的?！?/p>

對(duì)于公眾關(guān)心的EOS主網(wǎng)上線是否會(huì)因此延期，鄭文彬表示，“我們?cè)谥骶W(wǎng)上線之前發(fā)現(xiàn)漏洞，并通報(bào)給EOS官方團(tuán)隊(duì)，并幫助他們修復(fù)漏洞，這肯定是有益于EOS的長(zhǎng)期發(fā)展的。至于對(duì)EOS主網(wǎng)上線的影響以及是否延期，這個(gè)我們不好判斷?！?/p>

“區(qū)塊鏈方向之前也出現(xiàn)過(guò)很多次安全問題帶來(lái)的負(fù)面事件，但我相信這次漏洞事件，能夠引起區(qū)塊鏈業(yè)界和同行們真正重視區(qū)塊鏈安全問題?！班嵨谋蜻@樣說(shuō)道。

360早先對(duì)區(qū)塊鏈并不感冒

2018年1月17日，360董事長(zhǎng)周鴻祎出席中國(guó)金融博物館書院讀書分享會(huì)時(shí)，被問到對(duì)于區(qū)塊鏈的看法時(shí)，他曾坦言目前他本人對(duì)區(qū)塊鏈的布局還沒有具體想法，他對(duì)區(qū)塊鏈對(duì)于實(shí)際應(yīng)用的意義是否如很多人所吹捧狂熱的那么重要，也持謹(jǐn)慎的態(tài)度。

但是1月19日下午，360公司就宣布推出全球首家基于區(qū)塊鏈的安全共享云平臺(tái)——共享云計(jì)劃。

2月14日，360推出了基于區(qū)塊鏈技術(shù)下的虛擬貓。外界評(píng)論此次發(fā)布的區(qū)塊貓是360在區(qū)塊技術(shù)上的一次“試水”產(chǎn)生的“副產(chǎn)品”。

3月2日，作為全國(guó)政協(xié)委員出席兩會(huì)發(fā)布會(huì)上的周鴻祎在接受采訪時(shí)也表示，目前為止尚未看到非用區(qū)塊鏈不可的場(chǎng)景，區(qū)塊鏈中唯一剛需就是比特幣。并且比特幣即使具有賬本不可篡改的特性，也會(huì)面臨網(wǎng)絡(luò)攻擊的問題，比如當(dāng)有人控制了51%的算力進(jìn)行攻擊，還有如今的加密算法將來(lái)面對(duì)量子計(jì)算的問題，萬(wàn)一哈希算法被破解，那么區(qū)塊鏈將面臨的安全風(fēng)險(xiǎn)不可忽視。

但到了近期，360公司對(duì)區(qū)塊鏈顯示出了前所未有的熱情。

5月25日，360首次發(fā)布針對(duì)區(qū)塊鏈領(lǐng)域的安全解決方案。該方案基于360的安全大數(shù)據(jù)，結(jié)合360安全大腦，涵蓋了錢包、交易所、礦池、智能合約四大領(lǐng)域。在錢包領(lǐng)域，Dbank為360首家戰(zhàn)略合作方，360安全團(tuán)隊(duì)則為Dbank提供核心安全技術(shù)。

5月29日曝出幣安將與360達(dá)成安全方面的深度合作，360將為幣安提供一系列智能合約項(xiàng)目的代碼審計(jì)，且在項(xiàng)目方代碼升級(jí)后持續(xù)提供安全審計(jì)服務(wù)。同時(shí)，360安全團(tuán)隊(duì)也將向幣安提供長(zhǎng)期的安全檢測(cè)服務(wù)。

同樣是5月29日，北京歐鏈科技有限公司（OracleChain）宣布，已經(jīng)與北京奇虎科技有限公司（360）達(dá)成戰(zhàn)略合作，雙方將共同攜手，就區(qū)塊鏈底層技術(shù)、區(qū)塊鏈安全服務(wù)、區(qū)塊鏈預(yù)言機(jī)服務(wù)以及區(qū)塊鏈應(yīng)用等領(lǐng)域開展深入合作。

近期數(shù)字幣面臨多事之秋、風(fēng)雨飄搖，外界爭(zhēng)論不休，又遭曝光了致命漏洞。

為何360公司恰恰選擇此刻開始大舉進(jìn)軍區(qū)塊鏈呢？

“區(qū)塊鏈的應(yīng)用不只是虛擬幣，會(huì)有更多的應(yīng)用場(chǎng)景，證券、支付、游戲甚至隱私保護(hù)等等方面，都可能會(huì)誕生很多區(qū)塊鏈應(yīng)用案例。360是做安全的，區(qū)塊鏈作為最新的互聯(lián)網(wǎng)技術(shù)，其安全性問題非常值得我們關(guān)注和研究。”360安全團(tuán)隊(duì)負(fù)責(zé)人鄭文彬向記者這樣解釋道，“作為安全公司，360通過(guò)給區(qū)塊鏈行業(yè)提供安全解決方案及安全服務(wù)，讓區(qū)塊鏈應(yīng)用能更加安全快速地發(fā)展。針對(duì)區(qū)塊鏈嚴(yán)峻的安全形勢(shì)，360公司基于360安全大腦，利用360大腦在網(wǎng)絡(luò)安全感知、監(jiān)測(cè)、分析及決策方面的能力，特別布局了一整套區(qū)塊鏈安全生態(tài)，主要包括數(shù)字貨幣錢包安全審計(jì)系統(tǒng)、區(qū)塊鏈安全態(tài)勢(shì)感知系統(tǒng)和區(qū)塊鏈節(jié)點(diǎn)安全解決方案三大系統(tǒng)?！?/p>

鄭文彬表示：“360作為安全公司，對(duì)于區(qū)塊鏈等新領(lǐng)域面臨的安全威脅，會(huì)持續(xù)從攻防兩方面投入安全研究。360從今年年初開始就已經(jīng)投入研究區(qū)塊鏈安全，5月中旬我們剛剛發(fā)布了360安全大腦，我們會(huì)將360安全大腦在網(wǎng)絡(luò)安全允許狀況感知、監(jiān)測(cè)、分析以及決策能力與區(qū)塊鏈安全進(jìn)行結(jié)合，提供一系列區(qū)塊鏈安全解決方案?！?/p>

面對(duì)記者問及360是否會(huì)推出360虛擬貨幣安全錢包，鄭文彬表示，360安全團(tuán)隊(duì)會(huì)持續(xù)關(guān)注數(shù)字加密資產(chǎn)的安全性問題，其實(shí)在此之前，360公司對(duì)全球20多款錢包進(jìn)行了安全審計(jì)，發(fā)現(xiàn)80%都存在安全問題，最近360也為此發(fā)布了錢包安全白皮書，提出了錢包安全標(biāo)準(zhǔn)，幫助錢包開發(fā)者改善安全狀況。