区块链:BM 谴责 360 制造恐慌，「史诗级漏洞」还是「史诗级营销」？_非小号

链闻ChainNews：由于时差原因，360官方发布消息时，EOS技术团队无法及时回复，事件在不确定性当中继续发酵。尽管并未发生实质安全事故，但EOS价格在市场恐慌情绪中持续下跌，全球市场平均跌幅达8%。

5月29日，互联网公司360霸占了所有区块链媒体的头条，不仅成功吸引了用户眼球，市场行情也跟着跌宕起伏了一把。社区认为，这可以看作是360高调宣布入局区块链的里程碑事件。

事件起源于微博账号「360安全卫士」中午发布的一则消息。消息称，360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。该漏洞的重要性在于，这是在智能合约虚拟机中发现的新型安全漏洞，360团队称：360发现区块链史诗级漏洞。

不过，EOS开发者BM昨天深夜回复：在360官方发布消息前，该漏洞已被修复。

一个已被修复的漏洞是如何发酵成新闻头条的？

由于时差原因，360官方发布消息时，EOS技术团队无法及时回复，事件在不确定性当中继续发酵。尽管并未发生实质安全事故，但EOS价格在市场恐慌情绪中持续下跌，全球市场平均跌幅达8%。

马士基及 IBM 宣布关闭其支持区块链的航运解决方案 TradeLens:金色财经报道，丹麦航运公司马士基和IBM正在撤回其支持区块链的供应链产品TradeLens，该平台将在明年第一季度末下线。马士基商业平台负责人RotemHershko表示，该平台是可行的，但全球行业合作的需求方面是失败的。因此，TradeLens没有达到继续工作和满足作为独立企业的财务预期所需的商业可行性水平。据悉，TradeLens平台是在2018年宣布的，由IBM和马士基旗下的GTDSolution联合开发，是一个支持区块链的航运解决方案，旨在促进更高效和安全的全球贸易。（the block）[2022/11/30 21:11:39]

新闻发布几小时后，EOS运营公司Block.oneCEOBrendanBlumer在电报群中做出回应：

尽管我们的开发团队还正在睡觉，Block.one已经在关注所有正在被报道的事情。我们对公众的持续审查表示感谢，这也是开放源码项目能够如此强大的原因所在。让我们来关注于如何构建一个更安全的互联网以及其他建设性的事情之上；我们都感到非常激动。

而直到新闻发布接近十小时后，BM才在电报群表示，

巴尔的摩加密货币初创公司 OBM Inc.完成300万美元A轮融资:金色财经报道，据 bizjournals 消息，巴尔的摩加密货币初创公司 OBM Inc. 宣布完成了一笔 300 万美元的 A 轮融资，旨在进一步扩大为加密矿企提供服务，该公司推出的软件产品 Foreman 允许矿企管理整个矿场，提升这些设备处理 BTC 处理交易效率，让每次矿场处理交易时，所有者都会收到一部分 BTC。据悉，OBM 已经与多家上市加密货币挖矿公司建立了合作伙伴关系，比如 Hut 8 Mining 和 Iris Energy 等。[2022/6/3 4:01:01]

中国的漏洞新闻是一个FUD，在新闻发布前，漏洞已经全部被修复。制造恐慌传播的bug提交者将会失去获取赏金和认可的资格。

尽管在360发布消息之前，该漏洞已被修复，但360官方发布的稿件中却淡化了这点。在从消息发出，EOS团队无法及时回应的几个小时里，社区对漏洞事实的判断存在极大不确定性，EOS市值从104亿美元缩水至97亿美元。

360是如何发现EOS漏洞的？

下午，360安全团队的YukiChen和ZhiniangPeng在奇虎360技术博客中公布了发现EOS该漏洞并报告给EOS技术团队的过程。节选编译如下：

BM 团队发布 EOS Mandel 3.0 硬分叉首个候选版本，将进入测试阶段:2月1日消息，EOS联合创始人Daniel Larimer（BM）团队Fractally（原Clarion OS）发布 EOS Mandel 3.0硬分叉的首个候选版本，以替代EOSIO。下一步 EOS 社区将把 Mandel 3.0 部署到测试网络，测试大约在一个月内完成。

据称，该版本建立在 EOSIO 2.0 代码库之上，并从 EOSIO 2.1 中汲取了最佳功能。一旦部署 Mandel硬分叉，部署在该版本之上的智能合约其运行速度将有显著提高。具体而言，该版本添加了动作返回值（action return values），可为跨链通信提供更强大的数据访问和证明；此外，Mandel 系统合约的更新可以更好地控制 EOS 权限系统的工作方式，为智能合约代表用户支付交易费用奠定了基础。

此前消息，EOS创始人BM（Daniel Larimer）宣布Clarion OS更名为Fractally，为下一代DAO创建平台。据称，Fractally通过将区块链驱动的DEX平台、社交媒体网络和高性能智能合约平台与去中心化的分形民主（fractal democracy）相结合，启动2017年为EOS提出的最初愿景。[2022/2/1 9:26:17]

漏洞描述：在解析WASM文件时，我们发现并成功地利用了EOS的缓冲区溢出写入漏洞。通过这个漏洞，攻击者可以在节点服务器解析合约后，将恶意智能合约上传到节点服务器，节点服务器就会解析这个恶意合约，然后恶意合约就会在服务器上被执行，再控制该节点服务器。在控制了节点服务器之后，攻击者可以将恶意合约打包到新的块中，并进一步控制EOS网络的所有节点。

动态 | BM 发文重新构思 EOSIO 资源分配新方案:BM发文《重构EOSIO资源分配》（EOSIO Resource Allocation Reimagined）。文中提到，拟议的CPU租赁市场将稳定CPU价格，降低CPU租赁成本，并提高CPU访问的可预测性。CPU和NET租金的收益仍可以分配给那些在REX中拥有权益的人。要点如下： 1.应该以EOS定价从系统合约中租赁所有的CPU时间（100%），这个价格随着CPU租赁百分比的增加而指数增长，为租用CPU时间而支付的EOS将分配给抵押池。 2.假设您抵押EOS每个月可以产生1 EOS的增加，您可以在租赁市场花费1 EOS并获得对应数量的CPU，即CPU价格动态变化，部分租赁费用根据您抵押的代币的百分比返还。 3.这样一来用户就不需要考虑CPU抵押的动态调整或REX退出等问题带来的市场冲击，此外，CPU时间不能转让，因为所有的CPU时间是通过系统合约租赁而不是抵押EOS的。（Medium）[2019/11/27]

该报告还显示，漏洞发现的时间为5月11日，360安全团队于5月29日与EOS团队进行了沟通，EOS团队修复了GitHub上的漏洞，5月29日，注意到该漏洞并未修复完成。

声音 | BM 预售RAM消化市场对其的需求:据EOS引力区消息，BM在电报群中表示：

1.RAM价格已经下降，对开发者有利。

2.在与Bancor人员的沟通中，我发现通过预售RAM（在将来可以转化为真实RAM）可以进一步消化市场对RAM的需求，但不会影响当前的技术需求。

3.自由市场是双向的，受供求关系影响。可以通过不断加入新产品供应的市场竞争手段，改变规则。

4.智能合约总是在表达“根据规则”增加RAM供应。[2018/7/27]

在报告内附的360安全团队与BM的对话截图中可以得知，在知晓了该漏洞存在后，BM表示不会在漏洞修复完成之前发布EOS主网。同时希望360团队私下将漏洞报告给他，因为有些人正在使用公共测试网络。聊天截图的最后显示，该漏洞已被修复。

存在「史诗级漏洞」的EOS有归零风险吗？

360官方团队发布的消息用「史诗级」描述了该漏洞，并称「足以轰瘫整个数字货币体系」，「可完全控制虚拟货币交易」。

该事件引发了社区的热烈讨论。慢雾科技联合创始人余弦谈到，360发现的这个漏洞确实很严重，本质应该就是：恶意合约->合约虚拟机穿透->控制服务器。同时，他还透露了EOS超级节点攻击的几个入口，包括：1.P2P端口；2.RPC端口；3.恶意智能合约；4.服务器与集群等其他缺陷；5.人员安全缺陷。

所谓「史诗级」漏洞的影响到底有多大？随着恐慌情绪在社区发酵，关于EOS归零的言论甚嚣尘上。参与EOS超级节点的欧链科技告诉巴比特，「EOS不会归零，」同时，欧链科技肯定了360公布此漏洞的态度，并认为这是对EOS甚至未来区块链安全的长久利好。

a)首先漏洞在EOS正式上线前公布，避免了EOS上线后被0day攻击的可能。可以设想，如果这个漏洞被其他的黑客首先发现或者利用，会对整个项目产生不可挽回的破坏。b)在EOS官方尚未对该漏洞进行恢复前，360并未公布太多该漏洞的细节，也避免了这一漏洞被恶意利用的可能。c)目前360这样巨大体量的安全公司开始以公益性的方式接入到EOS等公链项目，正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。

不过，社区也有部分意见认为，360官方对该漏洞的评价过于严重，不乏有借势炒作之嫌。

比原链创始人段新星发布微博评价：

大致看了下，就是一个利用数组越界漏洞可导致内存溢出，获得超级权限覆盖掉WASM，填写新的可执行代码进去，进行恶意操作。这种漏洞很常见的，怎么就变成史诗级的了。BM第一次是加了Assert判定检查其实也可以包一个安全函数来操作，我觉得这个漏洞倒不难改。

CSDN副总裁孟岩在公开采访时表示，

该事件体现了360安全团队的实力，也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但360的宣布用词夸张，公关渲染痕迹严重，如果能够平实一些，细节多一些会更好。

「史诗级」营销：360是最大赢家？

一片慌乱中，事件的另一方360，已经为自己赚足了眼球。

下午，360公司董事长兼CEO周鸿祎发布微博称，360已经做了EOS超级节点安全解决方案，

360安全大脑发现的区块链漏洞，价值超过「百亿美金」，如果被非法利用，可以远程攻击控制和接管EOS上运行的所有节点，严重情况下，EOS乃至整个虚拟货币市场都会遭遇滑铁卢。360从年初开始，已经在区块链安全方面做了很多研究，已经做了几个区块链安全解决方案，也包括EOS超级节点安全解决方案。

随后，当天下午，多家区块链相关公司相继宣布与360达成合作：

欧链科技将与360合作，利用360安全大脑，共同打造EOS超级节点安全解决方案，合作内容包括360安全大脑向欧链科技提供区块链安全技术，以及提供区块链安全服务等；

EOSLaoMao也宣布与360达成战略合作，共同成立研发团队，在网络安全维护、攻落攻击预面做努力；

币安宣布与360达成安全方面深度合作，360将为币安提供一系列智能合约代码审计服务和长期安全检测服务。

同期，360在北京总部召开了有关EOS此次漏洞的媒体沟通会，分析了漏洞细节，对漏洞攻击进行了现场展示，并表示已经给20多个钱包进行了检测，发现80%的钱包都存在或多或少的漏洞。在此之前，360已经提交了门罗币的漏洞，过几天还会提交以太坊的漏洞。

晚间，据媒体消息，360宣布将依托360安全大脑积累，在物理安全、平台安全、网络安全、系统安全、应用安全和数据安全六方面进行防御部署。

360在短短一个下午完成了披露提供EOS超级节点安全解决方案，组织漏洞分析媒体沟通会，以及公告与多家区块链行业企业达成安全方面的合作。此举被认为是360借势为进军区块链做了一场免费又声势浩大的「史诗级」营销。

区块链安全是一个值得深入探讨并重视的话题。区块链开发过程中存在bug在所难免，项目团队应及时自查，发现修补，投资者也无须过度恐慌。同时，借势营销应当有度，不应以扰乱市场为代价。

不过，360此番借势营销的本质，可以视为传统互联网领域有巨大体量的安全技术公司已经正式介入区块链。尽管半个区块链社区都为EOS揪了一把心，但长远来看，对EOS乃至整个区块链生态建设未尝不是一件好事。

不过眼下，社区更关心的问题可能是，在该事件影响下，EOS主网上线会否推迟？你怎么看？

链闻ChainNews：有谣言买入，有新闻卖出。

原文作者：萌大大链闻编辑：MrRochester版权声明：文章为作者独立观点，不代表链闻ChainNews立场。

来源链接：www.8btc.com

本文来源于非小号媒体平台：

链闻看天下

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626848.html

漏洞风险安全

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

下一篇：

EOS爆出百亿美金漏洞，技术大咖告诉你发生了什么

标签：区块链非小号KINSTAK区块链币排名link币今日价格行情非小号KingdomLido Staked ETH

币安下载热门资讯