前阿里云风控反欺诈负责人:周鸿祎夸大了EOS安全漏洞的威胁
2018/6/1 10:15:22

起于玉红放言“空气币”,爆于360公布“史诗级漏洞”,EOS陷入的这场舆论风暴很难让人不“阴谋论”,毕竟距离6月2日其主网上线没几天了。

EOS此次被爆出的安全漏洞究竟是否如周鸿祎所言,黑客可以为所欲为?曲速未来创始人&CEO侯欣杰在接受节点财经专访时给出的答案是:没那么夸张。

侯欣杰于2007年加入阿里集团安全中心成为第4号员工,也是阿里云创始成员;他设计了阿里集团第一套白盒代码审计系统,并曾多年担任阿里云计算安全风控反欺诈技术负责人——该安全体系承载着每年天猫双11活动的数百亿访问风控安全对抗。

我们先来回顾此次“EOS漏洞”事件始末。

5月25日,360发布区块链安全态势感知系统,正式涉足区块链安全领域,并连续发布多条加密货币钱包、区块链项目漏洞,以及钓鱼与空投骗术的信息。

5月28日,3点钟社群发起人玉红在2018中国国际大数据产业博览会上表示:EOS是全球最大的的空气币和传销币。

5月29日,360称其Vulcan(伏尔甘)团队发现了EOS一系列高危安全漏洞,其中部分漏洞可在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。当天,360董事长周鸿祎微博表示,他们发现的EOS漏洞价值超“百亿美金”。

5月30日,BM在EOS开发者电报群中表示,bug在被公布前就已修复,但(被360)过度夸大。当天,周鸿祎答王峰十问,称EOS漏洞为史诗级漏洞,“于区块链网络来说,不会有比这个更严重的漏洞了”。

是玉红给自己发起孵化的XMX吸粉,还是360为自家的区块链安全业务造势?是周鸿祎违背道义还是BM人品恶劣?各路人士众说纷纭。

DFUND创始人赵东在朋友圈直言不讳:不管360什么目的(我们不要怀疑别人做事的动机),我至少确定一点:根据gitHub代码提交时间可知,BUG修复在360向BM汇报BUG之后而非之前。BM在睁着眼睛说瞎话,人品极其不可靠。

侯欣杰则认为,黑客要想利用该漏洞盗取EOS,在实操层面并没有周鸿祎所说的那么容易。

EOS存在“史诗级漏洞”会被全部盗走?

侯欣杰:没那么夸张

在昨日答王峰十问时,周鸿祎解释了360所爆EOS的安全漏洞到底有多严重:如果漏洞被人利用,(黑客)可以控制EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。(黑客)拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。

在侯欣杰看来,这的确是个安全漏洞,但其实没有周鸿祎所说的“史诗级”那么严重:黑客想要通过此次爆料的漏洞获取用户数字货币,起码在EOS启动回滚之前,没有足够时间完成操作。

“首先,EOS有21个节点与若干备选节点,而要发生周鸿祎所说的后果,(黑客)首先需要提交一个攻击合约,然后让其中一个节点运行这个合约,只有在节点运行这个合约的时候才能被攻击,也就是说每次攻击只能控制1个节点。这意味着,要盗走数字货币,必须让所有节点全部运行这个攻击合约,而现实往往会这一次攻击时可能是A节点运行该攻击合约,被控制了,下一次该节点可能就变成备选了,那对应的这次攻击也就无效了,而且还要保障在此期间不被发现。要知道,合约和区块数据都是公开的,仅在众目睽睽之下攻击别人不被发现这一点就极其难实现。此前BEC合约出现安全漏洞,在短短20分钟内就被归零了,就是因为被发现了。

其次,并不是控制了所有的节点就能为所欲为,因为节点只负责产生区块,而维护区块链安全运行是由整个网络完成的,也就是说如果出现一个不合法的区块想要欺骗整个区块链网络,几乎不可能;目前区块的数据都是基于hash和数字签名的方式,控制了节点不代表就能修改里面的数据,包括给自己增加coin,偷别人的coin等等操作,因为要偷别人钱包里面的钱得必须要有钥匙,节点是没有钥匙的。

第三,假如前面所有攻击都顺利完成了,攻击者通过此漏洞给自己钱包增加了EOS,但是他需要通过交易所来实现快速套现。攻击者必须先把自己的EOS从钱包转入交易所,通过交易所的交易来转移资产,而交易所本身对风险交易是有风控的(曲速未来已与多家知名交易所逐步展开合作中),超大额交易是会被监控的。比如币安之前的问题,就是攻击者操控了多个账户做恶意交易,也就是说前提是攻击者需要准备足够多的小号。曲速未来会与交易所合作提供同人同机识别服务,能够检测出恶意交易。在恶意交易完成之前,交易所有能力冻结风险账户,包括提币提现操作,回滚交易等等都足以让攻击无效,BEC就是很好的例子。

简单来说,想要利用此次漏洞盗取EOS,要绕过以上制约而且必须要在20分钟乃至更短时间内完成以上所有操作。”

如何看待360官方公开EOS安全漏洞?

侯欣杰:EOS可以送一封律师函

“大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来……”周鸿祎认为,360此次做法只是因为“希望EOS乃至整个区块链行业发展的更好”。

听起来没毛病。不过侯欣杰不以为然。

“首先,他们一定是有借势的意图,当然这完全可以理解。除此之外,在我们安全行业,给其它企业提交安全漏洞确实是好事,但不代表只要跟企业通知了对方,不等对方同意就可以擅自发表官方通告了。此次360只是说‘通知了EOS方’,但是并没有向BM提及会在官方发布漏洞公告并获取对方同意,这是其一;

其次,在EOS尚未完全修复该漏洞时就将安全漏洞对外大肆宣扬,此举有打着为行业安全做贡献的名头给EOS增加困扰,提升自己知名度的嫌疑。若换成被爆漏洞一方是银行或支付宝,不等对方修复就公布,难道是想让更多的不法分子攻击他们,导致更大的损失?

再次,就算是在漏洞修复完成之后公开,对方是否愿意公开,如何公开,公开哪些内容其实都是需要做更深入的沟通确认的,而不是先斩后奏,这属于职业操守与职业道德范畴。

我个人认为, EOS完全可以给360一封律师函。”

有智能合约主链都会受到类似威胁?

侯欣杰:需逐步完善,不该一棍子打死

混圈的人都知道,不只是EOS,之前以太坊也有过几次严重的安全事件:2016年6月17日,众筹项目TheDAO遭到攻击,致300多万以太币资产被分离出资产池;2017年7月21日,智能合约编码公司Parity有 15万以太币被盗;此前BEC被巨量增发抛售清零。

以EOS与以太坊如此之大的体量竟漏洞频发,是不是证明凡是有智能合约的主链都会受到类似EOS的安全威胁?

“一方面,智能合约层面的安全问题跟主链本身没有直接关系,而且会存在优胜劣汰的竞争法则,只有技术强大的才会留下来。”侯欣杰认为,“另一方面,与以太坊和EOS比起来,比特币更安全其实是因为它的功能非常简单,就是记账,说以前两者的安全问题更多,是因为功能更多,自然坑就越大,这需要一个逐步完善的过程,不应该一棍子打死。”

区块链安全呈现怎样的生态格局?

侯欣杰:未来会分为主链、应用、业务三大层面

正如周鸿祎所说,如今的网络安全正从最初简单的信息安全,演变成线上线下都会受到网络攻击的威胁,并且新威胁越来越多,比如区块链正面临的安全威胁。

区块链的火热正带动与之密切相关的新的生态格局逐步形成。侯欣杰认为,接下来区块链安全将分为三个层面:

首先是为做主链(无论公链还是联盟链)的团队,在主机、网络、激励机制等方面提供安全服务的企业。随着区块链相关技术的不断发展,过去传统的安全产品或服务可能会被淘汰,比如防火墙,“可能卖给银行,现在它不可能卖给每个矿工”。

其次是针对链上的具体应用提供安全服务的企业。当主链可以跑王者荣耀之类的游戏,区块链势必呈现出新的格局,而随着应用功能的日益丰富,安全问题也会越来越多。

第三个层面是基于区块链业务层面的安全服务商。比如现在项目方会在社群中发放糖果,可能会牵扯到反作弊、防欺诈、内容的安全需求。

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消