5月29日,由于中国网络安全公司奇虎360发现了一个严重的漏洞,EOS主网推出被推迟了。康奈尔大学教授,著名的密码学家Emin Gun Sirer批评EOS开发人员没有寻求共识协议专家的帮助。
在EOS主网发布之后,Sirer和其他加密专家,包括智能合同致富尼克.萨博(Nick Szabo)都谴责了EOS的代码和中心化问题。Sirer说EOS的问题会变得更糟。
在今年5月的一份官方报告中,奇虎360与EOS首席技术官丹尼尔•拉雷默(Daniel Larimer)分享了他们的谈话,披露了EOS不受约束的写入漏洞。奇虎360团队表示,该漏洞使黑客能够利用和攻击EOS超级节点。
在解析WASM文件时,我们发现并成功地利用了EOS中的缓冲区越界写漏洞。通过利用该漏洞,攻击者可以将恶意的智能协议上传到节点服务器,在节点服务器解析该协议后,恶意协议可以在服务器上执行并控制该服务器。在控制了节点服务器后,攻击者可以将恶意合约打包到新的块中,进一步控制EOS网络的所有节点。
奇虎360的报告还说,团队最初在5月11日发现了这个漏洞,并在5月28日加以利用。奇虎360向EOS团队披露了这一漏洞,该团队随后“修复”了该漏洞,并在Github上结束了这一问题。然而,5月29日,奇虎360发现漏洞并非完全修复,于是向公众发布了报告。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
