EOS漏洞事件：区块链安全应提上日程

5月29日，国内安全标杆企业360对外宣布公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。

5月29日下午2点，360创始人周鸿祎发布微博称“360安全大脑发现的区块链漏洞，价值超过‘百亿美金’，如果被非法利用，可以远程攻击控制和接管EOS上运行的所有节点，严重情况下，EOS乃至整个虚拟货币市场都会遭遇滑铁卢。”

一、价值超“百亿美金”的区块链“史诗级”漏洞

360安全团队对EOS漏洞描述如下：“我们发现了EOS区块链系统在解析智能合约WASM文件时的一个越界写缓冲区溢出漏洞,并验证了该漏洞的完整攻击链。

使用该漏洞,攻击者可以上传恶意的智能合约至节点服务器,在节点服务器解析恶意合约后,攻击者就能够在节点服务器上执行任意代码并完全控制服务器。

在控制节点服务器后,攻击者可以将恶意合约打包进新的区块,进而攻击和控制其他新的节点,最终攻击和控制整个EOS网络。”

具体的漏洞细节，重现、执行过程感兴趣的同学可以去360卫士官网查看。

用周鸿祎的话来说，“如果漏洞被人利用，可以控制EOS网络里面的每一个节点每一个服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。拿到服务器权限，就可以为所欲为了。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。

EOS现在的估值至少百亿美金，所以这个漏洞价值百亿美金并不夸张”。

二、严峻的区块链安全

作为今年以来最为热门的区块链项目，本次EOS“史诗级”漏洞的闹出的动静有点大。一方面说明EOS的影响力大，另一方也说明大家对区块链安全还是十分关注的。

事实上，关于区块链、加密数字货币的安全问题一直以来都是热点话题。在EOS之前，区块链已经发生了多次安全事故，比如著名的The DAO事件。

The DAO之所以被攻击，也是由于它编写的智能合约存在着重大缺陷。The DAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

说起来比较绕，实际上就是The DAO的智能合约出了BUG，用户可以不断利用这个BUG从The DAO的资产池中获取DAO资产。

又比如今年1月日本最大比特币交易所之一的Coincheck新经币（NEM）被非法转移至其他交易所实践。

再比如BEC美链4月被黑客攻击事件。BEC的合约代码：Beauty Chain 美蜜出现严重bug，可以通过合约的批量转账的功能，无限复制token。而类似美链这样的安全问题，有几十个基于以太坊ERC20的数字货币都有出现这样的问题。

除此之外，区块链自身存在的51%攻击，秘钥安全隐患等问题也都时有发生。

关于区块链、加密数字货币的安全问题，每一次事故大家都会有所警醒，有所改进。但这些警醒和改进都是暂时的，缺乏一个长期的，持续的安全管理机制。这是无法持久保证区块链长期安全的。

这些区块链安全，本身就是一个严峻的问题，也是各区块链企业必须承认，面对的问题。这对安全企业来说其实是一个莫大的机会，可惜好多人都没抓住。

EOS“史诗级”漏洞的发现，360再一次展示了自己在安全领域的技术实力，也一举奠定了360在区块链安全领域的领导者地位。

三、区块链安全需要更多360、更多周鸿祎共同守护

周鸿祎说：区块链领域里面，真正的安全问题其实还没出来。通过这次披露EOS漏洞，我们希望是让大家能够重视区块链安全问题。在网络安全行业里，有两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改，还有一种是知道了不爆出来，最后被人利用，这两个才是最可怕的。

之前何玺在文章中说过：在区块链和加密货币越来越被大众所熟知的当下、将来，保护用户数字资产安全，保障平台系统安全，都是个人用户、区块链企业、政府管理层等十分关心的问题。

从用户角度来说，区块链技术越安全，使用起来才会越放心，加密货币也是一样；从企业角度来说，区块链技术安全是保障自身应用系统安全、用户数据资产安全的最基本要求，也是最高要求；从政府管理层面来说，保护公民合法数字资产安全，监督企业安全运营也是基本职责。

但现实情况是，企业在应用服务或交易所技术上很专业，很厉害，但在保障应用服务和交易所安全上却多有欠缺。The DAO和Coincheck都是例子。前者在应用上线部署之前没有检查出系统漏洞，才会被黑客所攻击，后者则缺乏明确的安全保护措施，未能保护好用户数字资产安全。

那么该如何解决区块链技术安全问题呢？

玺哥认为这需要像360这样专业的安全服务商来做。比如360推出的基于区块链安全生态的3个系统。括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

这几个系统也可以看做是360针对区块链企业推出的安全服务套餐，各个不同区块链企业可以选择不同的服务。这对其他区块链安全企业来说也是一种启示，区块链还处于初级阶段，安全市场也才开始，机会还很多。

安全厂商要做的是考虑如何保障区块链创业者的应用安全，从应用开发到部署上线，再到应用运营维护、监测、预警、防御等，从多角度，全方位去保护企业应用/平台运行安全，保障用户使用安全。

区块链安全的严峻情况，需要更多360、更多周鸿祎一起共同守护。

文 | 何玺