BM 譴責 360 制造恐慌，「史詩級漏洞」還是「史詩級營銷」？_EOS

鏈聞ChainNews：由于時差原因，360官方發布消息時，EOS技術團隊無法及時回復，事件在不確定性當中繼續發酵。盡管并未發生實質安全事故，但EOS價格在市場恐慌情緒中持續下跌，全球市場平均跌幅達8%。

5月29日，互聯網公司360霸占了所有區塊鏈媒體的頭條，不僅成功吸引了用戶眼球，市場行情也跟著跌宕起伏了一把。社區認為，這可以看作是360高調宣布入局區塊鏈的里程碑事件。

事件起源于微博賬號「360安全衛士」中午發布的一則消息。消息稱，360公司Vulcan團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。該漏洞的重要性在于，這是在智能合約虛擬機中發現的新型安全漏洞，360團隊稱：360發現區塊鏈史詩級漏洞。

不過，EOS開發者BM昨天深夜回復：在360官方發布消息前，該漏洞已被修復。

一個已被修復的漏洞是如何發酵成新聞頭條的？

由于時差原因，360官方發布消息時，EOS技術團隊無法及時回復，事件在不確定性當中繼續發酵。盡管并未發生實質安全事故，但EOS價格在市場恐慌情緒中持續下跌，全球市場平均跌幅達8%。

加密基金MT Capital獲加拿大家辦BM Fund 1000萬美元投資:金色財經報道，據官方消息，加拿大知名家辦BM Fund宣布對加密基金MT Capital投資1000萬美元，Momentum Capital（簡稱：MT Capital）是一家總部位于舊金山灣區的原生加密基金，由早期進入加密行業的多個資深投資者發起,主要團隊成員曾投資過多個知名項目且成果斐然。

BM Fund的創始人Carmen表示：“MT Capital的合伙人Eason在以往的多次合作中為我們取得了顯著回報，他專業的投資眼光是我們決定在熊市逆周期投資Momentum Capital的重要原因。”

MT Capital合伙人Eason表示：無論熊市牛市，我們將致力于投資孵化全球范圍內真正能引領Web3敘事的高價值項目。未來一年正是市場新一輪周期轉換和新技術發現、趨勢驗證階段，我們將會重點押注Web3 infra和可能引領熱點的應用。[2023/8/22 18:14:39]

新聞發布幾小時后，EOS運營公司Block.oneCEOBrendanBlumer在電報群中做出回應：

盡管我們的開發團隊還正在睡覺，Block.one已經在關注所有正在被報道的事情。我們對公眾的持續審查表示感謝，這也是開放源碼項目能夠如此強大的原因所在。讓我們來關注于如何構建一個更安全的互聯網以及其他建設性的事情之上；我們都感到非常激動。

聲音 | BM ：EOS 的治理將是去中心化的 資源將更便宜:BM 今日連發四條推特，具體內容如下： 1.在這個時間，如果儲蓄和投資不可能實現的話，那么消費將會爆炸式增長，人們會越變越窮； 2.3%的財富稅意味著富人必須獲得6%的資產收益率才能保證收支平衡。而各國的央行在推行0利率甚至負利率，這會將所有資產的收益率推向0； 3.每個人都在擔心假新聞……那如果是假食品呢？你的行為塑造了你是一個什么樣的人。 4.我和BB想出了一個很棒的方案，可以用來解決買票賄選的問題。EOS 的治理將是去中心化的，資源將更便宜，激勵機制也將更加一致。（ IMEOS)[2019/9/24]

而直到新聞發布接近十小時后，BM才在電報群表示，

中國的漏洞新聞是一個FUD，在新聞發布前，漏洞已經全部被修復。制造恐慌傳播的bug提交者將會失去獲取賞金和認可的資格。

盡管在360發布消息之前，該漏洞已被修復，但360官方發布的稿件中卻淡化了這點。在從消息發出，EOS團隊無法及時回應的幾個小時里，社區對漏洞事實的判斷存在極大不確定性，EOS市值從104億美元縮水至97億美元。

360是如何發現EOS漏洞的？

聲音 | BM 透露將會創建競拍 token 名稱的功能，項目方發幣不再需要部署代碼:據 IMEOS 報道，BM 今日凌晨在 REX 電報群答疑，以下答疑主要內容為 IMEOS 整理。1、由于 name 和 RAM 的費用，REX 的收益率和借出成本是分開的。2、如何利用 name 和 RAM 給 REX 提高收益？BM 回答：競拍 eosio.token 合約的符號名。同時他也提到可能會每周拍賣一個 token 符號，類似于賬戶名競拍，然后創建一個“擴展賬戶名”的功能，允許任意賬戶名，并且將 eosio.token 更新到任意命名系統，有點像 DNS 映射到 IP，擴展名功能將映射到12個字符帳戶名。我們正在準備一系列的擴展 token 的標準，這將會讓開發者在增加功能時變得簡單容易，屆時所有的 token 可以一起升級。3、人們不再需要為發 token 部署代碼，eosio.token 合約可以同時輕松處理多個 token 的部署。4、比起購買 RAM 來部署發幣，項目方可以選擇購買 token 符號，token 是 eosio.toke 合約的一部分。[2019/5/5]

下午，360安全團隊的YukiChen和ZhiniangPeng在奇虎360技術博客中公布了發現EOS該漏洞并報告給EOS技術團隊的過程。節選編譯如下：

動態 | Brendan Blumer 透露 Tezos 正在嘗試邀請 BM 成為 CTO:據 IMEOS 報道，一個推特名為Emin Gün Sirer 的用戶在推特上轉發了一篇關于因為某 EOS 節點沒有更新黑名單而導致 EOS 被黑客轉走的文章，并評論：“EOS 沒有建立起拜占庭容錯黑名單，才導致者7百萬美元被盜走。只是一個 BP 的錯誤，卻導致了龐大的資金損失。這并不是一個強大的安全模型。聲稱在存在惡意行為者的情況下提供安全性的系統必須能夠容忍多個錯誤，而不是由于單個錯誤配置的服務器而導致錯誤發生。”

Brendan Blumer 解釋道：“根據設計，EOS 黑名單必須得到一致執行。這是為了防止 BP 的惡意行為。抱怨很容易。但對迭代進展的建設性建議依然受到 EOS 社區的歡迎。”

同時，Brendan Blumer 也對此進行反駁：“如果 EOS 的設計如此糟糕，為什么 Tezos 還在積極地雇傭 BM 來構建協議？而這也是基于 BM 發明的 DPOS 。” 他還附上了一張截圖，截圖的內容是一個人發送給 BM 的信息，邀請 BM 加入 Tezos，成為 CTO。[2019/3/1]

漏洞描述：在解析WASM文件時，我們發現并成功地利用了EOS的緩沖區溢出寫入漏洞。通過這個漏洞，攻擊者可以在節點服務器解析合約后，將惡意智能合約上傳到節點服務器，節點服務器就會解析這個惡意合約，然后惡意合約就會在服務器上被執行，再控制該節點服務器。在控制了節點服務器之后，攻擊者可以將惡意合約打包到新的塊中，并進一步控制EOS網絡的所有節點。

動態 | BM 透露正在解決 RAM 的劫持問題:據 IMEOS 報道，今日 BM 現身 EOS REX 電報群并討論了一系列相關問題，包括 UBI、產權問題等。期間， BM 在聊天中透露 Block.one 團隊正在解決 RAM 的劫持問題，而 REX 目前還在孵化，完成時間尚無消息。[2018/8/27]

該報告還顯示，漏洞發現的時間為5月11日，360安全團隊于5月29日與EOS團隊進行了溝通，EOS團隊修復了GitHub上的漏洞，5月29日，注意到該漏洞并未修復完成。

在報告內附的360安全團隊與BM的對話截圖中可以得知，在知曉了該漏洞存在后，BM表示不會在漏洞修復完成之前發布EOS主網。同時希望360團隊私下將漏洞報告給他，因為有些人正在使用公共測試網絡。聊天截圖的最后顯示，該漏洞已被修復。

存在「史詩級漏洞」的EOS有歸零風險嗎？

360官方團隊發布的消息用「史詩級」描述了該漏洞，并稱「足以轟癱整個數字貨幣體系」，「可完全控制虛擬貨幣交易」。

該事件引發了社區的熱烈討論。慢霧科技聯合創始人余弦談到，360發現的這個漏洞確實很嚴重，本質應該就是：惡意合約->合約虛擬機穿透->控制服務器。同時，他還透露了EOS超級節點攻擊的幾個入口，包括：1.P2P端口；2.RPC端口；3.惡意智能合約；4.服務器與集群等其他缺陷；5.人員安全缺陷。

所謂「史詩級」漏洞的影響到底有多大？隨著恐慌情緒在社區發酵，關于EOS歸零的言論甚囂塵上。參與EOS超級節點的歐鏈科技告訴巴比特，「EOS不會歸零，」同時，歐鏈科技肯定了360公布此漏洞的態度，并認為這是對EOS甚至未來區塊鏈安全的長久利好。

a)首先漏洞在EOS正式上線前公布，避免了EOS上線后被0day攻擊的可能。可以設想，如果這個漏洞被其他的黑客首先發現或者利用，會對整個項目產生不可挽回的破壞。b)在EOS官方尚未對該漏洞進行恢復前，360并未公布太多該漏洞的細節，也避免了這一漏洞被惡意利用的可能。c)目前360這樣巨大體量的安全公司開始以公益性的方式接入到EOS等公鏈項目，正標志著傳統互聯網的安全技術公司開始重視并介入到區塊鏈領域。這對于未來區塊鏈尤其是公鏈項目的安全會是一個長久的利好。

不過，社區也有部分意見認為，360官方對該漏洞的評價過于嚴重，不乏有借勢炒作之嫌。

比原鏈創始人段新星發布微博評價：

大致看了下，就是一個利用數組越界漏洞可導致內存溢出，獲得超級權限覆蓋掉WASM，填寫新的可執行代碼進去，進行惡意操作。這種漏洞很常見的，怎么就變成史詩級的了。BM第一次是加了Assert判定檢查其實也可以包一個安全函數來操作，我覺得這個漏洞倒不難改。

CSDN副總裁孟巖在公開采訪時表示，

該事件體現了360安全團隊的實力，也能幫助全球區塊鏈技術社區審視同質化區塊鏈網絡的固有問題。但360的宣布用詞夸張，公關渲染痕跡嚴重，如果能夠平實一些，細節多一些會更好。

「史詩級」營銷：360是最大贏家？

一片慌亂中，事件的另一方360，已經為自己賺足了眼球。

下午，360公司董事長兼CEO周鴻祎發布微博稱，360已經做了EOS超級節點安全解決方案，

360安全大腦發現的區塊鏈漏洞，價值超過「百億美金」，如果被非法利用，可以遠程攻擊控制和接管EOS上運行的所有節點，嚴重情況下，EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。360從年初開始，已經在區塊鏈安全方面做了很多研究，已經做了幾個區塊鏈安全解決方案，也包括EOS超級節點安全解決方案。

隨后，當天下午，多家區塊鏈相關公司相繼宣布與360達成合作：

歐鏈科技將與360合作，利用360安全大腦，共同打造EOS超級節點安全解決方案，合作內容包括360安全大腦向歐鏈科技提供區塊鏈安全技術，以及提供區塊鏈安全服務等；

EOSLaoMao也宣布與360達成戰略合作，共同成立研發團隊，在網絡安全維護、攻落攻擊預面做努力；

幣安宣布與360達成安全方面深度合作，360將為幣安提供一系列智能合約代碼審計服務和長期安全檢測服務。

同期，360在北京總部召開了有關EOS此次漏洞的媒體溝通會，分析了漏洞細節，對漏洞攻擊進行了現場展示，并表示已經給20多個錢包進行了檢測，發現80%的錢包都存在或多或少的漏洞。在此之前，360已經提交了門羅幣的漏洞，過幾天還會提交以太坊的漏洞。

晚間，據媒體消息，360宣布將依托360安全大腦積累，在物理安全、平臺安全、網絡安全、系統安全、應用安全和數據安全六方面進行防御部署。

360在短短一個下午完成了披露提供EOS超級節點安全解決方案，組織漏洞分析媒體溝通會，以及公告與多家區塊鏈行業企業達成安全方面的合作。此舉被認為是360借勢為進軍區塊鏈做了一場免費又聲勢浩大的「史詩級」營銷。

區塊鏈安全是一個值得深入探討并重視的話題。區塊鏈開發過程中存在bug在所難免，項目團隊應及時自查，發現修補，投資者也無須過度恐慌。同時，借勢營銷應當有度，不應以擾亂市場為代價。

不過，360此番借勢營銷的本質，可以視為傳統互聯網領域有巨大體量的安全技術公司已經正式介入區塊鏈。盡管半個區塊鏈社區都為EOS揪了一把心，但長遠來看，對EOS乃至整個區塊鏈生態建設未嘗不是一件好事。

不過眼下，社區更關心的問題可能是，在該事件影響下，EOS主網上線會否推遲？你怎么看？

鏈聞ChainNews：有謠言買入，有新聞賣出。

原文作者：萌大大鏈聞編輯：MrRochester版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：www.8btc.com

本文來源于非小號媒體平臺：

鏈聞看天下

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626848.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

EOS爆出百億美金漏洞，技術大咖告訴你發生了什么

Tags：EOS區塊鏈TOKTOKEEOSADD區塊鏈上班都是干什么的Keys TokenPHI Token

Uniswap