【深度】反思EOS“漏洞事件”：区块链网络安全隐患亟待关注

近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。消息一出，市场应声大跌，EOS跌幅一度达到8%。

 "漏洞事件”引爆行业安全大讨论

传统软件领域的漏洞可能被利用来发起网络攻击，造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系，在数字货币和区块链网络中的安全漏洞，往往会有更严重、更直接的影响。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

对于该漏洞带来的影响，量子链创始人帅初曾提出以下几点：

1.这种漏洞在支持虚拟机的合约平台上容易发生，智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽，都会有机会DDos整个区块链网络；

2. 面向货币的设计，比特币做的不多不少，刚好合适；

3. ETH和EOS，都不是面向货币的设计，面向区块链平台的设计，复杂度很高，也蕴含更多安全隐患
     ……  ……

 针对这次“漏洞”可能产生的危害，360周鸿祎说：

 “如果漏洞被人利用，就不仅仅是接管网络里面的虚拟货币、各种交易和应用，而是可以接管节点里面所有参与的服务器。拿到服务器权限，就可以为所欲为。”

而对于外界质疑360是否单方面做空EOS的说法，周鸿祎回复到：“从披露漏洞的时间来看就知道肯定不是在做空。假如我真想恶意做空的话，完全可以捂着，等EOS主网上线，直接爆出来。”

另外，周鸿祎公开呼吁大众关注区块链技术的同时也应该注意区块链安全。

“我们一定要记住，‘没有攻不破的网络’，只有没被发现的漏洞，或者被发现没公开的，不存在没有漏洞的网络。所以，我们希望无论是区块链行业，还是其他行业，要能够正视网络安全问题的重要性。”

此前，BM曾表示，提供有价值的漏洞可以获得1万美金报酬，BM团队将负责评估漏洞价值。而对于今天发布的漏洞消息，HelloEos 、EOSUnion、EOS CANNON等EOS超级节点竞选团队都表示，主网启动之前发现更多漏洞并得到修复是一件好事。

关于区块链安全问题一直存在很多隐患。除了EOS之外，ETH之前也有过几次严重的安全事件：2016年6月17日，当时最大的众筹项目TheDAO遭到攻击，导致300多万以太币资产被分离出资产池；2017年7月21日，智能合约编码公司Parity确认有 15万以太币被盗。以及最近的BEC被巨量增发抛售等。以EOS和以太坊如此的体量和实力尚且如此，对于其他区块链项目而言，也需额外警惕安全风险。

EOS超级节点遭攻击，主网上线是否受影响

EOS是被称为“区块链3.0”的新型区块链平台，目前其代币市值高达690亿人民币，在全球市值排名第五。

在区块链网络和数字货币体系中，节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面，此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞，是一系列前所未有的安全风险，此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS，也可能影响其他类型的区块链平台与虚拟货币应用。

在区块链这个公认的技术革命里，技术在任何项目中占据着主导的地位。中本聪、ETH的V神、EOS的BM无一不是被人人称道的技术大神，也正是这些技术大神给大家带来了各种惊天变革。然而，价值来源于共识、而共识则是由技术来保障的，技术出现漏洞，则无法保障共识，价值随之在漏洞中流失。就像前段时间的BEX \ EDU 一样，如果不是交易所暂停交易等操作，估计瞬间就因为恐慌砸盘砸光了。

所以可想而知像ETH、EOS这类关注度如此高、技术人员也相对高阶的情况下，都能发现致命漏洞，就不要说那些知名度、热度、认知度都低的小公链了，关注的人少了，漏洞也难以发现，假如主网上线后才发现，将有很大的风险存在。技术真的特别重要，特别是对于这种区块链基础设施来说，就像是一栋楼的地基一样，地基千疮百孔，即便后续的应用再好，有朝一日可能轰然倒塌。 

周鸿祎也指出：如果EOS漏洞被人利用，可以控制EOS网络里面的每一个节点和服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。一旦拿到服务器权限，黑客就可以为所欲为。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走。所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。

对于EOS主网上线，周鸿祎在做客“王峰十问”时回答到：

“我认为应该延迟上线，我们安全团队还在发现一些EOS漏洞，也会第一时间及时的提交给他们，我们建议修复之后再上线。区块链安全是我们一直关注的问题，此外360也是互联网科技企业，像EOS这些主要的公链，我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴，就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。”

区块链网络安全隐患亟待关注

区块链这个名词，对于大部分人而言并不陌生，但区块链技术背后的特点、价值、应用在安全领域的作用、当前的技术局限，大家却未必完全熟悉。然而安全是区块链未来的生命，只有本身的安全才能使得区块链技术落地。这就要求我们在区块链技术发展的同时，必须并重发展其安全属性，甚至是超前发展。

随着对区块链技术研究的深入，近年来区块链中存在的一些安全问题逐渐暴露出来。2016年6月，众筹超过1.5亿美元的分布式自治组织 THE DAO受到黑客攻击，导致项目失败。同年8月，香港比特币交易所Bitfines因为多重签名漏洞，大约价值7000万美元的比特币被盗。交易所的安全性尚且不能保障，个人私钥的安全性也存在较高风险。

有关业内人士指出，虽然区块链应用前景被各方看好，但需注意的是，区块链仍处初级阶段，安全性须高度重视。国家信息技术安全研究中心主任俞克群日前在2018区块链安全高峰论坛上表示，其安全问题存诸多挑战。白帽汇安全研究院发布的《区块链产业安全分析报告》显示，2011年到2018年4月，全球范围内因区块链安全事件造成的损失多达28.64亿美元。近两年相关损失金额呈指数上升之势，仅2018年以来，损失金额就高达19亿美元。

白帽汇安全研究院负责人邓焕表示：随着信息经济价值不断上升，促使攻击者利用各种攻击手段获取更多敏感数据。“目前区块链技术应用最为广泛的虚拟货币，被黑客频繁利用漏洞攻击，造成巨额损失。”

有关专家认为：区块链技术国家标准制定中最应该考虑的因素之一就是一定要从国家层面关注安全的标准。这个安全是指多层次的，不光是区块链本身的安全和技术安全， 还包括从国家战略层面的国家安全等。

中国社会科学院研究员冯兴元之前在接受某财经采访时表示：区块链技术标准需要产生于行业，成为行业的标准，之后才确认为国家标准。业界与政府之间的最大争端可能发生在通证的使用标准和信息安全标准。对通证的使用影响所有这些类型的标准，而信息安全标准的采纳也会影响到其他各种标准。

如何针对安全问题展开研究，保证区块链系统的长期安全运行，成为急需解决的问题。因此，一些新的安全技术也需要被开发和引入到区块链系统设计中，为区块链的未来发展提供了可靠而灵活的安全保障。