密(mì)码学家Sirer和智能合约(yuē)之父萨(sà)博(bó)警示EOS安全漏洞
2018-6-25 08:45
来源:
核财经
作(zuò)者: 编译 Alice
5月29日,由于中(zhōng)国网(wǎng)络安全公司奇虎360发现了一个严重的漏洞,EOS主网推出被推(tuī)迟(chí)了。康奈(nài)尔大学教授,著名的(de)密码学家Emin Gun Sirer批评(píng)EOS开发人员没有寻求共识协议专家的帮助。
在EOS主网发布之后,Sirer和其他加密专家,包括(kuò)智能合同致(zhì)富(fù)尼克.萨博(Nick Szabo)都谴(qiǎn)责了EOS的代码和中(zhōng)心化问题。Sirer说EOS的问(wèn)题会(huì)变得更(gèng)糟。
在今年5月的一(yī)份官方(fāng)报告中,奇虎360与(yǔ)EOS首席技术(shù)官丹尼尔•拉雷默(Daniel Larimer)分享了他们的谈话,披露了EOS不受约(yuē)束的写入(rù)漏(lòu)洞。奇虎360团队表示,该漏洞使黑客能够利用和攻击(jī)EOS超级节点。
在(zài)解析(xī)WASM文件时,我们发现并成(chéng)功地利用(yòng)了EOS中的缓冲区越界写漏(lòu)洞。通过利用(yòng)该漏洞,攻击者可以将恶(è)意的智能协议上传到节点服务器,在节点服务器解析(xī)该协议后,恶意(yì)协议可以在服(fú)务器上执行并(bìng)控(kòng)制该服务器(qì)。在控(kòng)制了(le)节点服务(wù)器(qì)后,攻击者可以将恶(è)意合约打包到(dào)新(xīn)的块中(zhōng),进一步控制EOS网络的所有(yǒu)节(jiē)点。
奇虎360的(de)报告(gào)还说,团(tuán)队最初(chū)在5月11日发现了这个漏洞,并在5月28日加以利用(yòng)。奇(qí)虎360向EOS团队披露了这一漏洞,该团队随(suí)后“修复”了(le)该漏洞,并在Github上结束了这一问题(tí)。然而,5月29日,奇(qí)虎360发现漏洞并非完全修复,于(yú)是向公众发(fā)布(bù)了报告。
版权申明:本内容来(lái)自(zì)于(yú)互联网,属(shǔ)第(dì)三方(fāng)汇(huì)集(jí)推(tuī)荐平台。本文(wén)的版(bǎn)权归原作者所有,文章言论不代表(biǎo)链门户的观点,链门户不承担任何法律(lǜ)责任。如有侵权请联系QQ:3341927519进行反馈。
