EOS 漏洞的简单复盘和原因探讨

360报的EOS漏洞，技术层面并不复杂，很容易懂它的攻击逻辑。但是这个漏洞背后却显现了EOS设计理念有着一些深层次的安全隐患。

先简单复盘下漏洞本身：根源是在这行代码，有个数组越界的内存漏洞：

因为binaryen.cpp这个代码是负责解析EOS智能合约的，所以攻击者可以：1.先创建一个「恶意」的智能合约；2.把「恶意」的合约上传到EOS网络让超级节点来解析，进而触发越界，形成EOSWASM虚拟机进程的内存漏洞；3.由于EOS为了性能的考虑，常用的内存缓解技术没有做到位，攻击者可以进一步在虚拟机进程里控制整个超级节点的机器，达到远程代码执行的效果。漏洞发现者的解释

动态 | 2019年以太坊、波场、EOS的Dapp交易总量达到230亿美元:DappReview最新报告显示，Ethereum、Tron和EOS区块链上的Dapp交易额达到了230亿美元左右。报告显示，三个智能合约平台占整个区块链行业Dapp活动量98％以上：仅以太坊一年就达到128亿美元，EOS记录了60亿美元的交易，而Tron的收益则略高于40亿美元。（Decrypt）[2020/1/9]

而EOS官方的漏洞修复也是很奇葩的，BM在GitHub上创建了这样一个bugissue：根据标题，就不难发现，BM根本没修复根源的漏洞本身，却只是改了assert在release版的触发

动态 | EOS某非竞猜类DApp遭黑客攻击损失5万EOS:今日凌晨2:23-2:40之间，PeckShield安全盾风控平台DAppShield监测到黑客向EOS DApp nkpaymentcap发起连续攻击，成功获利5万个EOS。PeckShield安全人员分析发现，黑客采用假转账通知攻击获取大量合约代币，又将代币通过DApp合约兑换成真EOS进行套现。PeckShield安全人员在此提醒，开发者应在合约上线前做好安全测试，特别是要排除已知攻击手段的威胁，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/3/11]

漏洞发现者说，这种修复没有本质上解决问题：

EOS突破19美元 24小时交易量位居第三:据OKEx数据显示，今日18：30左右，EOS突破19美元，再创历史新高，短暂触碰19美元后，随即回落。EOS持续发力，目前24小时交易量占市场总交易的12.5%，仅次于BTC和USDT。其中在OKEx平台交易量最大，占比20.79%，达6.71亿美元。[2018/4/28]

说完漏洞本身，再来探讨下深层次的原因

一、这个攻击的一大亮点是，合约本身可以是「恶意」的，是用来攻击节点的。那为什么「恶意合约」这个威胁会对EOS特别显著？因为EOS部署合约是零成本的，任何人只要锁定一定量的EOS都可以免费发布合约来让超级节点解析。这样攻击者几乎是零成本。所以这个threatmodel对EOS“特别”适用。

二、EOS的21个超级节点的设计，会让这种攻击在现实世界里更容易实行。EOS超级节点的本质，就是用中心化来提高性能。可是无论每个超级节点背后有多少机群，一定有个主控端的机器。这样，攻击者只需要知道怎么破解每个主控机器的内存保护措施就可以了，反正最差情况也就适配21种。而相对地，拿ETH举例：ETH区块链网络现在有18266个节点，而这些节点又有很多不同的客户端版本和机器版本，光适配这些不同配置的exploit就够黑客头疼的，写PoC是相对简单的，现实运行是麻烦的，所以安全问题有时候是被一定程度地夸大了的。而且，由于EOS的中心化，超级节点会保存一般区块链节点不会有的太多的重要信息，一旦攻破，后果比攻破一个或多个普通区块链节点问题严重的多。

三、EOS为啥不用更严格的沙盒来限制内存漏洞呢？因为EOS的智能合约功能太多了，除了跟操作系统层有很多交互，合约本身还支持异步执行，「并发漏洞」也是个头疼的事情。

想做的功能越多，被攻击的危险就越大。有时候，设计越是简单，往往越有力量。

链闻ChainNews：提供每日不可或缺的区块链新闻。

原文作者：道链闻编译：YY版权声明：文章为作者独立观点，不代表链闻ChainNews立场。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

链闻速递

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626834.html

EOS柚子漏洞风险安全

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

直指本质，EOS漏洞的复盘和深层次原因探讨

标签：EOSAPPDAPDAPPNEOS价格抹茶交易所app最新版官方区块链dapp开发语言YDAPP

中币交易所热门资讯