EOS明年将被大规模黑客攻击?确有5大硬伤!

时间:2021-07-21 22:22来源:www.588touz.com作者:未知点击:

导读:
扫描关注公众号

直到北京时间6月15日凌晨1点50分,在最后达到15%的投票率将来,柚子币主网才正式被激活。但过了不足48个小时,柚子币再现紧急问题,中止出块,修复时间持续近5个小时。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

 

大家想相信,将来发生大规模借助柚子币漏洞的黑客攻击,概率将会渐渐减少。

结合最近发现的柚子币安全问题,360核心安全事业部安全研究员彭峙酿称,这大部分是软件达成上的漏洞,是所有软件项目都会面临的问题,并不是柚子币独有,也非公链项目独有,与DPOS机制无关,也并不是区块链技术本身的缺点。不过,因为公链项目一般与数字虚拟货币挂钩,一旦出现安全问题可能会导致非常紧急的后果,譬如互联网崩溃、用户资产损失、密钥泄露、节点被控制等。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

 

假如说开发语言隐藏隐患,那样柚子币在主网上线前未公开披露安全审计结果,好像将其对安全问题的无视直接摆到了台面。

北京知晓创宇开创者、著名安全专家赵伟在同意媒体采访时表示,自己与团队在BM的交流中发现,BM会混淆一些安全基础性的定义,其本人在安全技术范围并不专业。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

5月29日,360爆出柚子币存在“史诗级”漏洞,可完全控制数字货币买卖。BM随后在电报群中发布消息,称将奖励发现并提交Bug的人,“提供有价值的漏洞会获得1万美金的报酬”。

在他看来,柚子币没上线就能获得很多资金投入人的认同,得到超高的市值,势必会引起各方面的关注,其中也包括安全专家和黑客,因此系统更容易被爆出各种漏洞。

大家都知道,BTC平均每秒买卖7笔,ETH平均每秒买卖35笔,而柚子币意在塑造区块链行业的操作系统,通过并行计算达成百万级TPS。

更有区块链研究员预言,明年将会有一场大规模借助柚子币漏洞的黑客攻击。“考虑到开发职员处置重要安全问题的方法,这一攻击的出现将非常可能是不可防止的。”

他同时强调,早期项目的开发进度应该与知名度互相匹配,这对项目团队来讲更容易形成一个良性的外部环境,假如社会关注度过高,比较容易形成“伤仲永”的后果。

对于这个1年募资40亿美金的明星项目,支持者觉得它开启了区块链3.0年代,反对者将其视为史上最大的空气币、传销币,存在紧急的安全隐患。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

自启动漏洞赏金计划以来,上半年赏金已超10万USD。

安全审计相对滞后

至于柚子币募资的疯狂程度,可能连BM也始料未及。

假如从结果导向看,360之所以可以爆出“史诗级”漏洞,可能正是柚子币没做安全审计的结果。而柚子币宣布上线后才开始让各社区进行安全审计,进一步印证了这一猜测。

柚子币引以为傲的DPOS共识机制同样饱受逅病。

竞选期间,荷兰黑客因发现柚子币的9个漏洞,获9万USD奖金,而百万私钥失窃的丑闻再度为柚子币蒙上了一层阴影。

然而,结合BM在柚子币安全问题上的表现,部分业内人士觉得这位“技术大神”并不懂互联网安全。

这样一来,柚子币的买卖速度提高了,也降低了不少挖矿能耗,但这一革新性的设计却引来了不少非议。

支撑这一成效的是共识机制的改变。不同于POW和POS,柚子币使用DPOS,它像加盟人权益证明共识算法,设21个“超级节点”验证买卖,这部分节点由全链依据一币一票投票产生。

其实自今年5月以来,柚子币就屡遭负面新闻缠身。“史诗级”漏洞、百万私钥失窃、主网瘫痪……安全问题好像已经成为了柚子币非常大的硬伤。

过度包装隐藏风险

攻击势必到来,而且不可防止?

早在柚子币主网上线前,BM曾发twitter展示DPOS比BTC、ETH更具去中心化优势,但随即遭到ETH开创者V神回怼。V神觉得21个超级节点并非21个不同实体,节点之间可能存在内在联系的共谋。

专注于区块链项目资金投入的大河资本合伙人李荣阁表示,柚子币之所以频频爆发安全问题,除去项目本身使用了不少革新的达成策略,与公链项目要公开代码是什么原因外,也与项目强大的社区运营能力和宣传造势有关。

受安全问题影响,柚子币超级节点竞选推进缓慢。

文章还指出,早在1988年就存在借助缓冲区溢出进行攻击的行为。据估计,它一经出现便影响了网络上10%的计算机,导致约10万至100万USD的损失。此后30年间,不少著名的攻击事件都采取了缓冲区溢出的方法。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

在同意财经网采访时,NAS币联合开创者兼CTO钟馥百表示,柚子币的开发语言是C/C++,而不是ETH等其它公链所使用的安全性较好的Golang语言。该开发语言的最大优势就是易操作,比如可以直接操作机器和内存,能嵌入汇编代码,抽象度低,性能较高,但最大的问题是缺少安全防护设计,使其开发的程序存在显著的安全隐患,容易导致缓冲区溢出攻击、非法指令等问题。

在那副广为流传的区块链扑克牌中,黑桃A代表的正是BM,足见其江湖地位

开发语言缺少防护

柚子币是BM发起的第三个项目。这位毕业于佛吉尼亚大学计算机系的IT男,曾成功开发了BTS和Steemit两个市值进入TOP30的区块链项目。此外,他还是DPOS共识算法的创建者,也是自治化组织DAO的创建者。

没被意识到的漏洞是可怕的,被意识到后,漏洞的威力将会大大减少。柚子币团队假如从此刻起,能愈加看重安全问题并不断增加投入,完全可以将各种隐患抹杀在爆发前夕。

不能否认的是,安全性问题是现在整个区块链范围的弱点,并不是柚子币独有,伴随各界的关注,伴随行业整体安全水平的提高,柚子币的安全性能也势必水涨船高。

除此之外,柚子币在抵抗世界各地的审查方面也会存在问题,譬如由于节点相对集中,一旦被个别国家政府需要关闭,势必面临较大风险。

结合360公布的柚子币漏洞,假如能将风险控制在单机范围内,那对全局来讲影响还是相对可同意的。但正是因为恶意代码可以是一个区块链上的合约,因此柚子币将合约打包成区块后会在整个互联网中传播,使得所有节点均可被此恶意代码控制,整个互联网都将遭到致命影响。

据技术开发范围专家介绍,在业内像微软等科技巨头都会在代码开发完成后进行安全审计,这事实上已经成为了一种“惯例”,以太坊、Nebulas等公链项目都曾在主网上线前拓展了此项工作。

柚子币安全事件频发的根源到底是什么?其主要隐患整理如下,涉及开发语言、安全审计、共识机制、开创者和市场推广5个方面:

持相同看法的还有360安全职员。在同意采访时,安全职员透露,在团队提交漏洞并跟BM交流时,会发现他基本上不懂安全,对安全的认知比较差。

对于360报告中提到的漏洞,他表示早已修复,且早于报告发布时间,而360的行为是在制造恐慌,对于任何挑起市场恐慌的行为将取消其奖励资格。有专家觉得,这种态度这是不敢正视问题,对技术极度不尊重。

据IM柚子币消息,日前,区块链安全公司PeckShield发现部分柚子币用户的秘钥存在紧急的安全隐患,部分秘钥允许用强度较弱的助记词,比较容易存在“彩虹”攻击,并引发竞价推广账户数字资产失窃。

360核心安全事业部安全研究员彭峙酿告诉记者,就现在Github上柚子币漏洞修复状况和进度来看,可以推断柚子币项目开发前期缺少有效的安全开发生命周期管理,在安全风险评估、攻击面减约、代码审计和安全测试等方面前期筹备都不足。

Dfund开创者赵东直接在朋友圈开怼:“不管360什么目的,我至少确定一点:依据GIthub代码提交时间可知,BUG修复在360向BM汇报BUG之后而非之前。BM在睁着双眼说瞎话,人品极其不靠谱。”

商品尚未正式上线,却在一年内疯狂拦金40亿USD,这与柚子币的过度包装和炒作不无关系。除去被冠以“区块链3.0”的名号外,资本大鳄、交易平台巨头、温州炒房团、矿场土豪等争相竞选超级节点,也让柚子币赚足了眼球。

据FN资讯7月11日报道,柚子币自启动漏洞赏金计划以来,上半年赏金超10万USD。黑客Guido Vranken近期通过发现柚子币协议中的漏洞赚取了12万USD,但对于Vranken团队披露的系统中的其它错误,柚子币仍未将其公开。“柚子币好像存在一些非常紧急的漏洞,并缺少全职的安全团队。”

这与火币区块链研究院的看法不谋而合。在360爆出柚子币“史诗级”漏洞后,该研究院发文称,C++允许技术员通过指针等方法进行极为自主的控制及用,并不强制检查数组边界等条件。但也正是由于这种灵活性,C/C++程序常会由于内存管理的复杂性而出现内存泄露、宕机或内存越界等问题,导致缓冲区溢出攻击,这在大型工程上特别容易见到。

在NAS币联合开创者兼CTO钟馥百看来,这是不负责任的行为,由于业内通行的做法都是上线前做安全审计,这是对持币人负责。柚子币全方位上线后才开始检查漏洞和问题,等于把风险直接暴露,让持币人承担所有些风险和后果。?

中关村区块链产业网盟秘书长朱佩江觉得,相对于POW和POS两种共识机制,DPOS在设计上确实会让攻击者更容易攻击。但他同时表示,21个节点的设置仍然是在维持多节点的优势,被一家掌控的可能性低,节点作恶仍然可以通过投票指认出来。

开创者BM不懂安全

外面常见觉得,柚子币的21个超级节点比较容易被黑掉,存在两方面的安全隐患:一是内部作恶,21个节点存在共谋可能;二是柚子币暴露了21个超级节点,好像更易遭到外部攻击,一旦21个超级节点被控制,就等于控制住了柚子币,这与区块链所追求的去中心化和安全性好像是相违背的。

在复盘柚子币安全事件时,火币区块链研究院指出,这部分问题完全可以通过有效的代码安全审查机制来防止。区块链作为一个分布式的去中心化系统,代码一旦部署将非常难更新,需通过硬分叉或者软分叉来对代码进行升级,本钱不可谓不高,所以在项目发布之前,充足的测试和代码审核变得十分重要和必要。

基于柚子币“打地鼠式”的漏洞修复模式,康奈尔大学区块链研究员EminGünSirer在Twitter中直接开炮:明年将会有一场大规模借助柚子币漏洞的黑客攻击。

这一预言能否从应验大家不能而知,但部分专家觉得,柚子币的开发语言可能早已为黑客攻击埋下了伏笔。

但这样大规模的募资到底流向什么地方?随着市场疑惑的此消彼长,躲在暗处的“危险分子”可能觊觎已久。

值得注意的是,柚子币社区负责人ThomasCox在主网瘫痪后的发言也验证了其关注度过高。他表示,任何软件都有漏洞,BP和工程师修复主网并使它重新上线预示着将来会很好,BTC和ETH初始阶段,因为无人用,所以无人理会它们的漏洞。

DPOS机制易遭攻击

所有安全问题的根源,一直绕不过开创者BM。

虽然有以上种种硬伤,但并不是无药可治。据悉,现在来自世界各地的白帽黑客还在持续为柚子币报告漏洞和提交修复建议。

EOS明年将被大规模黑客攻击?确有5大硬伤! EOS明年将被大规模黑客攻击?确有5大硬伤!

相关文章
推荐文章

热门标签

区块链知识_区块链入门_区块链接博客_极客网

Copyright © 2002-2021 极客网 (http://yxlhjx.net) 网站地图 TAG标签 备案号:

声明: 本站文章均来自互联网,不代表本站观点 如有异议 请与本站联系 本站为非赢利性网站