1
北京時間6月2日凌晨,EOS1.0正式版發布,同一時間,EOS官方就近期出現的一系列高危漏洞做出回應,向發現漏洞的360公司安全團隊公開致謝,對其中3個漏洞分別給出1萬美元的賞金,同時表示,歡迎安全社區人員共同努力保證EOS1.0軟件安全性的持續提高。
這是EOS官方首次向安全機構發布賞金致謝。
EOS是被稱為“區塊鏈3.0”的新型區塊鏈平臺,目前其代幣市值高達690億人民幣,在全球市值排名第五。目前,EOS還就更多漏洞情況與360進行溝通。
360董事長周鴻祎日前表示,區塊鏈作為這兩年新火起來的技術,它遇到的安全威脅屬于新威脅。區塊鏈行業,應該與網絡安全行業,做到協同開放,共同構建安全生態。
圖:360累計獲3萬美金致謝
5月29日,360Vulcan(伏爾甘)團隊宣布,發現了EOS平臺的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。29日凌晨,漏洞公布前,360已第一時間將該類漏洞上報EOS官方,并協助其修復安全隱患。
由于區塊鏈網絡去中心化的計算特點。一個區塊鏈節點實現上的安全漏洞,可能引發成千上萬的節點遭到攻擊。甚至,在傳統軟件漏洞領域被認為相對危害較小的拒絕服務漏洞,在區塊鏈網絡中則可能引發整個網絡癱瘓的風暴攻擊,對整個數字貨幣系統造成巨大沖擊。
360曝光的EOS漏洞,如果被人利用,可以控制EOS網絡里面的每一個節點、每一個服務器,不僅僅是接管網絡里面的虛擬貨幣、各種交易和應用,也可以接管節點里面所有參與的服務器。可以說,如果有人做一個惡意的智能合約,就能夠把里面所有的數字貨幣直接拿走。
EOS漏洞的攻擊可以以秒級的速度在多個節點和超級節點之間傳播,從控制節點到生成新塊繼續傳播是連續的、鏈式的爆炸動作,很可能20秒就接管了所有的節點,完成了操作。
想象一下,當攻擊者已經拿到整個EOS網絡里至高無上的權限,就相當于滅霸把六顆宇宙原石都湊齊了,在宇宙中可以瞬息萬變,為所欲為的。對于區塊鏈網絡來說,不會有比這個更嚴重的漏洞了。
360此次發現EOS的重大漏洞,是基于360安全大腦體系。
360安全大腦是360多年技術積累的結晶。360安全大腦的網絡安全空間大數據,現在是全球規模最大的。也因為有這些大數據和數據中心,360安全大腦的態勢感知、智能查殺、攻防與溯源,包括應急響應上,現在在全球都非常具備競爭力。
事實上,360早已關注人工智能和區塊鏈,他們的共同點是無論是AI的算法,還是區塊鏈的算法,都是通過寫代碼實現的,而代碼是人寫的,肯定會有漏洞的。
開源軟件中,每千行平均就有6-8個安全漏洞。
全球正在進入一個大安全時代,因為云計算、大數據、人工智能還有物聯網這些新技術的發展,網絡安全已然不是最初的信息安全,而是從個人的信息安全、金融安全、家庭安全、出行安全,到企業安全,再到社會的公共安全,再到國家的信息基礎設施安全、政治安全、軍事安全。
周鴻祎此前亦表示,在大安全新時代,希望能夠繼續發揮360安全守護者這個作用。區塊鏈應用以后有可能深入生活、生產的多個方面,360作為國內最大的安全公司,當然希望充當一個“守護者”的角色,為區塊鏈應用保駕護航。
獎金多少無所謂?這群黑客上億人民幣都不要!
價值百億美金的漏洞,獎金只有3萬美金,是不是少了點?但對于安全研究者來說,他們對于漏洞經濟價值的態度是:不感興趣!
今年年初,谷歌、微軟、蘋果等巨頭公布了2017年漏洞致謝榜,根據國外漏洞軍火商 ZERODIUM 發布的2017年漏洞“牌價”表來看,安全研究者2017年給互聯網三巨頭報告的漏洞,放在黑市上,價值最低也有2000萬美元,折合人民幣上億!一個Chrome漏洞價格最高在15萬美元左右,iOS漏洞的價格最高竟然可達150萬美元。
但在安全從業者眼里,把漏洞提交廠商修復來保護用戶安全,遠比賣給網絡軍火商進行惡意攻擊更有價值,盡管這些漏洞大多只能獲得廠商免費的感謝。谷歌和微軟也為部分漏洞設立了獎金鼓勵,但價格和黑市上的差距卻天壤之別!
近幾年, 360蟬聯漏洞報告榜單首位。2016年,向各大廠商提交408枚漏洞,創世界紀錄排名榜首;2017年全年,360提交的漏洞增至519枚,再次刷新紀錄。這些漏洞能換取的利益,遠遠不如讓產品變得更安全,或者得到致謝來得有意義。
