回答 8
EOS作为新型区块链平台被称为“区块链3.0”,目前代币市值全球排名第五,业内一直有人认为EOS有望取代比特币和以太坊成为区块链设施的新一代公有链平台。在恶意攻击中,通过精心构造并发布含有恶意代码的智能合约上传给EOS超级节点,并触发其中的安全漏洞,从而达到控制此超级节点的目的,攻击者利用已被控制的超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制
黑客在控制节点之后,可窃取EOS超级节点的密钥,进而控制EOS网络的虚拟货币交易;EOS网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等也不再安全。区块链仍处于发展初级阶段,安全性的问题需要格外注意。攻击者一旦将EOS网络中的节点纳为己用,可以选择将其变为僵尸网络中的一员,发动网络攻击或变成挖掘其他数字货币的免费矿工。
实话来说的话,EOS面向区块链平台的设计以高复杂度换取高性能,其因此产生的安全隐患就不可避免,关于虚拟货币交易,个人觉得面向货币的设计的话,比特币做的就正好不多不少,刚好合适。在EOS这种支持虚拟机的合约平台上,智能合约的高灵活性也意味着诸多隐患的存在。
官方给出的解释最近被发现的漏洞其实是一个缓冲区溢出的漏洞,“缓冲区溢出攻击”的基本思想就是利用程序中类似拷贝函数没有限制边界的情况进行攻击。
一般来说,攻击者要在64位系统中实现远程代码执行是非常困难的,在远程攻击进程中存在两个防止远程控制的基本方式dep和asir。dep完成对恶意代码的检查,如果攻击者突破了这道关口,还会遇到第二层的aslr,通过增加攻击者预测目标的复杂度防止攻击者直接定位攻击代码位置,从而达到阻止溢出攻击的目的。但这两条也同样会使合约执行速度变慢因此EOS引入了wasm虚拟机可以帮助绕过这两道关卡。
需要认识到的是EOS的 TPS 性能优势建立在牺牲安全性的前提条件下。EOS为了保证在多种应用场景的高灵活性,其平台的复杂度必定很高,这是以安全为代价而发展起来的,会出现很多隐形的安全漏洞。有可能是同EOS这种无gas消耗的机制有关。在比特币或者以太坊中,完成交易都要消耗手续费或者gas的,通过这样的方式面可以避免黑客通过大量微额交易发起攻击,也可以让恶意代码或者缺陷代码有停机的机会,但两者的交易性能低,难满足巨额交易,如果处理速度提高会造成网络的拥堵,且两者的交易都不是免费的,需要根据网络拥堵情况向矿工支付手续费。而在EOS中,虽然声称其交易时是不需要消耗手续费之类的东西,这样条件下运行的智能合约会可能出现一直循环一段恶意的智能合约代码的情况,导致节点的资源被耗尽,从而堵塞交易。
区块链顾名思义就是把 N 个点联在一起的,环环相扣。攻击者通过攻击其中的一个点就有机会得到整个系统的所有节点,虽然之前以太坊上也发生过类似的智能合约漏洞,但从未达到过可以通过远程攻击,直接控制和接管链上运行的所有节点远程执行任意代码的程度。如果恶意攻击者通过漏洞拿到EOS所有超级节点的服务器权限,EOS甚至整个虚拟货币市场都会出现问题,问题严重起来又是一番腥风血雨了。
有一种说法叫做后门,不知道你是不是你说的恶意代码,但是在区块链技术上确实存在,虽然大量使用密码学增强了安全性,但是依旧存在一些问题,比如历史上有名的NSA算法对RSA算法恶意加入缺陷,造成后者极易被利用攻破。
腾讯云开发者
