14x security Team

Welcome old friends


当前位置:首页 > 业界新闻 2018年06月01日
EOS被曝高危漏洞,区块链成黑客提款机,一年被盗76亿仅追回15亿

EOS被曝高危漏洞,区块链成黑客提款机,一年被盗76亿仅追回15亿


在技术价值被肯定的同时,区块链网络安全问题也被众多系统漏洞和黑客盗币事件推上风口浪尖。

5月28日上午,360安全卫士官微称,公司Vulcan团队发现了EOS的一系列高危安全漏洞,且其中部分漏洞可以在EOS节点上远程执行任意代码。可以进行远程攻击,直接控制和接管EOS上运行的所有节点。

在EOS主网即将于6月2日上线的节点上,这个重大的利空消息瞬间拉低了投资者的信心。消息爆出后仅1小时,EOS市值蒸发7亿美元(约合人民币44.52亿元),平均每小时蒸发超7400万元。

除网络漏洞之外,区块链此前一周内频频被攻击。黑客接连对数字币网络发动进攻,盗走上千万个代币,多个币种网络系统陷入瘫痪。据统计,2017年初至今区块网络频遭攻击的损失超76亿元。

EOS回应修复漏洞,投资者不买账

EOS是目前市值排名第六的全球流通的数字加密货币。智能合约技术上的先进性,使其成为可能接替比特币、以太坊的主链之一,也被业内多次用来对标以太坊。

目前EOS有300亿元的体量,但尚未有任何实体项目落地的区块链明星项目。此次主网上线,是其为正式应用迈出的第一步。

360表示,这一漏洞的存在,使得黑客通过远程攻击即可直接控制和监管EOS上运行的所有节点,原始网络保护屏障等同于摆设。交易所被远程控制,等同于护城河被打通,因此该漏洞被业内成为“史诗级漏洞”。

在360告知了EOS项目方后,主网上线在即的EOS方于5月29日凌晨确认,会在漏洞修复完毕后再上线主网。

不过,这一回复并未平复投资者飘摇不定的内心。火币网趋势图显示,消息爆出后的1小时内,EOS币价下跌6.73%,从最高点11.77美元(约合人民币74.85元)跌至最低点10.97美元(约合人民币69.76元),市值蒸发7亿美元(约合人民币44.52亿元)。

(相关人士要去暗网下单 图片来源于网络)

与360曝出重大漏洞的同一天,三点钟社群创始发起人玉红因在贵州国家数博会论坛上称“EOS是最大的传销币”,遭到业内人的抨击和谴责。甚至有人以“在暗网下单”对其发出人身威胁,“有认识的转告他,叫他注意”。

数字币市场成为黑客“提款机”

与突出的区块链网络安全问题形成鲜明对比的,是投资者认知的不足。据报道,目前加密劫持已成为日本网络安全的主要威胁,2017年第四季度日本感染加密病毒的电脑达13.54万台,但超40%的持币者并没有听说过加密劫持。

仅上周,就被曝出发生多起区块链网络遭黑客攻击,盗走巨额代币事件。运算力与底层技术的劣势使区块维护方总是后知后觉,被黑客玩弄于鼓掌。

5月25日,BTG遭到黑客攻击,3小时内超38.82万个BTG被盗,直接损失达1860万美元。此前5月22日,匿名币Verge也同样遭遇攻击,被盗超3500个,损失的代币价值超100万美元。这是该币种第二次遭到黑客攻击。4月8日,verge遭黑客攻击,价值180万美元(约合人民币1148.4万元)的代币在几个小时之内被洗劫一空。

18日,比特黄金公关针对攻击事件发表回应。

两起事件都是专门针对区块链特性的攻击,但目前仍没有有效的防御措施。

黑客攻击的消息造成虚拟数字币市场巨大恐慌。最直接的表现,是被盗币种的价格暴跌。BTG被攻击后,价格下降24%,遭到连续攻击的verge币价暴跌。火币网行情显示,5月23日至5月24日,24小时内,verge市值从7.24亿美元跌至6.48亿美元,市值蒸发超7600万美元(约合人民币4.94亿元)。

受此影响,BTC、ETH等主流数字币价格也出现跌势。据火币网行情显示,消息爆出后的24小时内,BTC价格下跌315美元(约合人民币2009.7元),市值蒸发53.73亿美元(约合人民币342.79亿元);ETH价格下跌14.1%,市值蒸发96.70亿美元(约合人民币616.94亿元)。

当周内,BTC跌势略有回升,一周下跌1290美元,ETH则由最高点713美元跌至579美元,跌幅18.7%,继续下挫形势。

攻击号称“几乎无法防御”

BTG被攻击后,项目方曾对用户发出警告,称有矿工利用双重支付漏洞窃取加密货币交易所的资金。截至当日,与攻击相关的地址已收到超过38.82个BTG(价值约为1.13亿元人民币)。

BTG创始人廖翔则在回应中称,“目前有能力做如此大规模攻击的只有市面上几家较大的公司”,直指此次攻击是竞争对手所为。

此次黑客采用的攻击方式被币圈称为51%攻击,即恶意矿工控制网络中大多数算力,然后强制执行虚假交易将代币转至自己的账户。在这种攻击方式中,黑客通过运算力的绝对优势改写区块链上的交易信息,用同一笔代币完成两次交易,通过欺骗性交易来盗取交易者手中的代币。

verge被盗也是同种操作手法。根据BitcoinTalk网友ocminer(竞争币矿池Suprnova的运作者)所说,某攻击者通过“51%攻击”控制了verge所有的区块。致使当日verge的矿池和矿工都陷入瘫痪。

中本聪在BTC的白皮书中曾提到过,此种针对区块链特性的攻击几乎无法被防御,只能在系统检测到有大量算力集中的时候发布预警以减少损失。