TER:EOS 爆出百亿美金漏洞，技术大咖告诉你发生了什么_com2刷L币

作者：

时间：

近日，360公司Vulcan团队宣布发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。而周鸿祎则称此次发现的漏洞价值超过「百亿美金」。

在此次EOS的高危漏洞中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点被远程控制。

NFT社区平台Lockerverse入选迪士尼加速器计划，并与ESPN达成合作:据官方消息，华特迪士尼公司（The Walt Disney Company）周四举办迪士尼加速器演示日，展示参与今年迪士尼加速器计划的六家公司，包括Polygon、Web3社交应用Flickplay、创建交互式AI虚拟角色的开发平台Inworld AI、NFT社区平台Lockerverse、体验式电子商务平台Obsess、AR公司Red 6。

其中NFT社区平台Lockerverse与迪斯尼子公司ESPN达成合作，将于12月17日为大学橄榄球庆典碗赛Celebration Bowl提供免费Celebration Bowl Trophy奖杯NFT。[2022/11/12 12:54:23]

由于已经完全控制了节点的系统，攻击者可以「为所欲为」，如窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

Digital Entertainment Asset 完成1000万美元融资:12月14日消息，新加坡 GameFi 生态系统公司 Digital Entertainment Asset (DEA) 宣布完成 1000 万美元新一轮融资，洛杉矶另类投资集团 LDA Capital 参投。DEA 将利用新资金加速构建边玩边赚 P2E NFT 游戏目录并拓展更多战略合作伙伴。

此前报道，DEA 于今年一月完成 1200 万美元种子轮融资，JAFCO Investment Ltd. 领投，Spartan Group 等参投。[2022/12/15 21:45:19]

更有甚者，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费「矿工」，挖取其他数字货币。

蒂芙尼NFT“NFTiff”已连续两周无任何交易:金色财经报道，据最新NFT交易数据显示，蒂芙尼NFT“NFTiff”已连续两周无任何交易，最近一次交易发生在8月13日。当前蒂芙尼NFT“NFTiff”地板价为59ETH，市值达到2232万美元，交易总额为356万美元。[2022/8/27 12:52:14]

360首席安全工程师郑文彬回应：

5月28日12点把漏洞提交给BM，BM凌晨完成了部分修复。目前这个漏洞仅仅是EOS网络的漏洞，但这是在智能合约虚拟机中发现的新型安全漏洞，是前所未有的安全风险。

比原链创始人段新星表示，本次事件是一个利用数组越界漏洞可导致内存溢出的问题，获得超级权限覆盖掉WASM填写新的可执行代码进去，然后进行恶意操作。这种漏洞很常见，并不能成为史诗级的漏洞。BM第一次是加了Assert判定检查，其实也可以包一个安全函数来操作。

比原链首席架构师James指出，EOS想做分布式服务就意味着它会面临相对于比特币更多的问题和挑战。类似于EOS这种不收gas的机制，以后也许还会遇到很多复杂的问题。相对而言，有些方面比原虚拟机有收gas机制就不会碰到，搞溢出会直接因为内存使用收gas导致虚拟机报错退出。比原链与EOS一样都是做底层公链技术，都是在慢慢摸索前进方向，不断的修正错误，逐步成长起来。

截止事件结束，据EOS官方消息人士称：BM已经修复了这个漏洞。

链闻ChainNews：提供每日不可或缺的区块链新闻。

来源链接：www.8btc.com

本文来源于非小号媒体平台：

链闻速递

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626841.html

EOS柚子漏洞风险安全