EOS:BM 譴責 360 制造恐慌，「史詩級漏洞」還是「史詩級營銷」？_Weos

鏈聞ChainNews：由于時差原因，360官方發布消息時，EOS技術團隊無法及時回復，事件在不確定性當中繼續發酵。盡管并未發生實質安全事故，但EOS價格在市場恐慌情緒中持續下跌，全球市場平均跌幅達8%。

5月29日，互聯網公司360霸占了所有區塊鏈媒體的頭條，不僅成功吸引了用戶眼球，市場行情也跟著跌宕起伏了一把。社區認為，這可以看作是360高調宣布入局區塊鏈的里程碑事件。

事件起源于微博賬號「360安全衛士」中午發布的一則消息。消息稱，360公司Vulcan團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。該漏洞的重要性在于，這是在智能合約虛擬機中發現的新型安全漏洞，360團隊稱：360發現區塊鏈史詩級漏洞。

不過，EOS開發者BM昨天深夜回復：在360官方發布消息前，該漏洞已被修復。

一個已被修復的漏洞是如何發酵成新聞頭條的？

由于時差原因，360官方發布消息時，EOS技術團隊無法及時回復，事件在不確定性當中繼續發酵。盡管并未發生實質安全事故，但EOS價格在市場恐慌情緒中持續下跌，全球市場平均跌幅達8%。

IBM CEO：人工智能或在五年內取代公司7800個職位:5月2日消息，IBM預計將“暫停”招聘可能被人工智能（AI）自動化的“后臺”職位。IBM首席執行官Arvind Krishna在5月1日接受彭博社采訪時解釋說，許多“后臺”職位，如人力資源和會計部門，可能會首先被人工智能自動化。

Krishna補充說，他預見在五年內，這些職位中有30%會被人工智能取代。根據LinkedIn的數據，IBM在全球擁有28.2萬名員工，根據彭博社的數據，IBM約有2.6萬名非面向客戶的員工，這意味著大約7800個工作崗位可能會被人工智能取代。（Cointelegraph）[2023/5/2 14:38:20]

新聞發布幾小時后，EOS運營公司Block.oneCEOBrendanBlumer在電報群中做出回應：

盡管我們的開發團隊還正在睡覺，Block.one已經在關注所有正在被報道的事情。我們對公眾的持續審查表示感謝，這也是開放源碼項目能夠如此強大的原因所在。讓我們來關注于如何構建一個更安全的互聯網以及其他建設性的事情之上；我們都感到非常激動。

而直到新聞發布接近十小時后，BM才在電報群表示，

西班牙海鮮公司與 IBM 合作進行供應鏈跟蹤:西班牙海鮮公司NuevaPescanovaGroup宣布與IBM合作，利用其FoodTrust平臺一個專為供應鏈可追溯性而設計的分布式賬本技術平臺。根據IBM6月8日的公告，該合作伙伴關系已經在進行中，NuevaPescanova利用區塊鏈技術跟蹤阿根廷的蝦捕撈和厄瓜多爾的蝦養殖。（cointelegraph）[2021/6/8 23:21:03]

中國的漏洞新聞是一個FUD，在新聞發布前，漏洞已經全部被修復。制造恐慌傳播的bug提交者將會失去獲取賞金和認可的資格。

盡管在360發布消息之前，該漏洞已被修復，但360官方發布的稿件中卻淡化了這點。在從消息發出，EOS團隊無法及時回應的幾個小時里，社區對漏洞事實的判斷存在極大不確定性，EOS市值從104億美元縮水至97億美元。

360是如何發現EOS漏洞的？

下午，360安全團隊的YukiChen和ZhiniangPeng在奇虎360技術博客中公布了發現EOS該漏洞并報告給EOS技術團隊的過程。節選編譯如下：

漏洞描述：在解析WASM文件時，我們發現并成功地利用了EOS的緩沖區溢出寫入漏洞。通過這個漏洞，攻擊者可以在節點服務器解析合約后，將惡意智能合約上傳到節點服務器，節點服務器就會解析這個惡意合約，然后惡意合約就會在服務器上被執行，再控制該節點服務器。在控制了節點服務器之后，攻擊者可以將惡意合約打包到新的塊中，并進一步控制EOS網絡的所有節點。

動態 | 西班牙海產品公司加入區塊鏈平臺IBM Food Trust:據Intrafish消息，西班牙增值海產品公司Angulas Aguinaga將加入區塊鏈可追溯平臺IBM Food Trust，將基于區塊鏈的可追溯系統納入其價值鏈。該公司表示，該平臺將在整個供應鏈中提供可靠的信息。[2018/11/26]

該報告還顯示，漏洞發現的時間為5月11日，360安全團隊于5月29日與EOS團隊進行了溝通，EOS團隊修復了GitHub上的漏洞，5月29日，注意到該漏洞并未修復完成。

在報告內附的360安全團隊與BM的對話截圖中可以得知，在知曉了該漏洞存在后，BM表示不會在漏洞修復完成之前發布EOS主網。同時希望360團隊私下將漏洞報告給他，因為有些人正在使用公共測試網絡。聊天截圖的最后顯示，該漏洞已被修復。

存在「史詩級漏洞」的EOS有歸零風險嗎？

360官方團隊發布的消息用「史詩級」描述了該漏洞，并稱「足以轟癱整個數字貨幣體系」，「可完全控制虛擬貨幣交易」。

該事件引發了社區的熱烈討論。慢霧科技聯合創始人余弦談到，360發現的這個漏洞確實很嚴重，本質應該就是：惡意合約->合約虛擬機穿透->控制服務器。同時，他還透露了EOS超級節點攻擊的幾個入口，包括：1.P2P端口；2.RPC端口；3.惡意智能合約；4.服務器與集群等其他缺陷；5.人員安全缺陷。

動態 | BM 透露 Block.one 也會開發 Android 錢包:據 IMEOS 報道，繼此前 BM 提到 Block.one 會開發 EOS 的 IOS 錢包后，在回答社區成員提問時， BM 剛剛透露Android EOS 錢包也會開發。[2018/8/10]

所謂「史詩級」漏洞的影響到底有多大？隨著恐慌情緒在社區發酵，關于EOS歸零的言論甚囂塵上。參與EOS超級節點的歐鏈科技告訴巴比特，「EOS不會歸零，」同時，歐鏈科技肯定了360公布此漏洞的態度，并認為這是對EOS甚至未來區塊鏈安全的長久利好。

a)首先漏洞在EOS正式上線前公布，避免了EOS上線后被0day攻擊的可能。可以設想，如果這個漏洞被其他的黑客首先發現或者利用，會對整個項目產生不可挽回的破壞。b)在EOS官方尚未對該漏洞進行恢復前，360并未公布太多該漏洞的細節，也避免了這一漏洞被惡意利用的可能。c)目前360這樣巨大體量的安全公司開始以公益性的方式接入到EOS等公鏈項目，正標志著傳統互聯網的安全技術公司開始重視并介入到區塊鏈領域。這對于未來區塊鏈尤其是公鏈項目的安全會是一個長久的利好。

不過，社區也有部分意見認為，360官方對該漏洞的評價過于嚴重，不乏有借勢炒作之嫌。

聲音 | BM 關于 RAM 觀點今日總結:據 IMEOS 總結 BM 在 RAM 電報群發表言論總結如下：

1.BM 表示可以通過調整一些 bancor 的參數來減少 RAM 市場的波動。他們也在對磁盤分頁性能進行基準測試。目前他本人在致力于降低價格和增加供應，當然，這是在保持基于市場定價的條件下。今天也測試了 bancor ，對當前的代碼進行大量的檢查。

2.經驗告訴我們只有少數人可以做到在恐慌的拋售中獲利。

3.對于像在 otcbtc.com 平臺上的備用 eosram 市場的看法是：他們的流通性會減少。

4.減少 RAM 市場波動的做法：BM 團隊將會發布一份提案供社區參考。提案中會包括使用新高性能的 SSD 擴容物理 RAM 的計劃。如果該方案可行，那么內存價格會更加便宜。

5.BM 同意目前的 RAM 市場是一個 “真正自由” 的市場：穩定，小幅波動，可持續增長。RAM 的供應由社區推選的出塊節點把控，所以最終的控制權還是在持幣者手中。

6.人為造成的稀缺和保護 RAM 價格并不是方案的目標。RAM 不是一種可以投機的 Token。它的價格只受供需驅動。每個人都可以自由地在價格上做推測，但是 RAM 持有者唯一擁有的是合約中的存儲空間。[2018/7/4]

比原鏈創始人段新星發布微博評價：

大致看了下，就是一個利用數組越界漏洞可導致內存溢出，獲得超級權限覆蓋掉WASM，填寫新的可執行代碼進去，進行惡意操作。這種漏洞很常見的，怎么就變成史詩級的了。BM第一次是加了Assert判定檢查其實也可以包一個安全函數來操作，我覺得這個漏洞倒不難改。

CSDN副總裁孟巖在公開采訪時表示，

該事件體現了360安全團隊的實力，也能幫助全球區塊鏈技術社區審視同質化區塊鏈網絡的固有問題。但360的宣布用詞夸張，公關渲染痕跡嚴重，如果能夠平實一些，細節多一些會更好。

「史詩級」營銷：360是最大贏家？

一片慌亂中，事件的另一方360，已經為自己賺足了眼球。

下午，360公司董事長兼CEO周鴻祎發布微博稱，360已經做了EOS超級節點安全解決方案，

360安全大腦發現的區塊鏈漏洞，價值超過「百億美金」，如果被非法利用，可以遠程攻擊控制和接管EOS上運行的所有節點，嚴重情況下，EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。360從年初開始，已經在區塊鏈安全方面做了很多研究，已經做了幾個區塊鏈安全解決方案，也包括EOS超級節點安全解決方案。

隨后，當天下午，多家區塊鏈相關公司相繼宣布與360達成合作：

歐鏈科技將與360合作，利用360安全大腦，共同打造EOS超級節點安全解決方案，合作內容包括360安全大腦向歐鏈科技提供區塊鏈安全技術，以及提供區塊鏈安全服務等；

EOSLaoMao也宣布與360達成戰略合作，共同成立研發團隊，在網絡安全維護、攻落攻擊預面做努力；

幣安宣布與360達成安全方面深度合作，360將為幣安提供一系列智能合約代碼審計服務和長期安全檢測服務。

同期，360在北京總部召開了有關EOS此次漏洞的媒體溝通會，分析了漏洞細節，對漏洞攻擊進行了現場展示，并表示已經給20多個錢包進行了檢測，發現80%的錢包都存在或多或少的漏洞。在此之前，360已經提交了門羅幣的漏洞，過幾天還會提交以太坊的漏洞。

晚間，據媒體消息，360宣布將依托360安全大腦積累，在物理安全、平臺安全、網絡安全、系統安全、應用安全和數據安全六方面進行防御部署。

360在短短一個下午完成了披露提供EOS超級節點安全解決方案，組織漏洞分析媒體溝通會，以及公告與多家區塊鏈行業企業達成安全方面的合作。此舉被認為是360借勢為進軍區塊鏈做了一場免費又聲勢浩大的「史詩級」營銷。

區塊鏈安全是一個值得深入探討并重視的話題。區塊鏈開發過程中存在bug在所難免，項目團隊應及時自查，發現修補，投資者也無須過度恐慌。同時，借勢營銷應當有度，不應以擾亂市場為代價。

不過，360此番借勢營銷的本質，可以視為傳統互聯網領域有巨大體量的安全技術公司已經正式介入區塊鏈。盡管半個區塊鏈社區都為EOS揪了一把心，但長遠來看，對EOS乃至整個區塊鏈生態建設未嘗不是一件好事。

不過眼下，社區更關心的問題可能是，在該事件影響下，EOS主網上線會否推遲？你怎么看？

鏈聞ChainNews：有謠言買入，有新聞賣出。

原文作者：萌大大鏈聞編輯：MrRochester版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：www.8btc.com

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626848.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

EOS爆出百億美金漏洞，技術大咖告訴你發生了什么

Tags：EOS區塊鏈RAM人工智能Weos區塊鏈運用的技術不包括RamenSwap人工智能對口的工作

BNB