“百亿美金”漏洞披露后 谁来保障区块链平台安全?

2018-06-07 18:57 来源:光明网-经济频道 
2018-06-07 18:57:01来源:光明网-经济频道作者:责任编辑:陶媛

近日,360曝出的EOS高危漏洞,引起了网间众多热议。北京时间6月2日凌晨,EOS官方正式向360安全团队公开致谢,并提供3万美元赏金,强烈呼吁安全社区人员共同努力保证EOS软件安全性的持续提高。

随着EOSIO 主网上线日益临近,如何保证区块链节点安全性,为用户提供可靠稳定的链上服务成为了全球EOSIO社区关注的焦点。为此,360前瞻性地提出EOS超级节点安全解决方案,依托“安全大脑”和对 EOSIO 生态的持续投入,致力于为 EOS 生态构建一个系统全面的安全保障体系,为 EOSIO 的广大用户提供更安全、更可靠、更稳定的基础服务。

“百亿美金”漏洞披露后 谁来保障区块链平台安全?

20s轰瘫数字货币体系! EOS惊现超级节点攻击

北京时间5月29日,360Vulcan(伏尔甘)团队宣布,发现了EOS平台的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。29日凌晨,漏洞公布前,360已第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞,可能引发成千上万的节点遭到攻击。甚至,在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞,在区块链网络中则可能引发整个网络瘫痪的风暴攻击,对整个数字货币系统造成巨大冲击。

360曝光的EOS漏洞,如果被人利用,可以控制EOS网络里面的每一个节点、每一个服务器,不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。可以说,如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。

EOS漏洞的攻击可以以秒级的速度在多个节点和超级节点之间传播,从控制节点到生成新块继续传播是连续的、链式的爆炸动作,很可能20秒就接管了所有的节点,完成了操作。

想象一下,当攻击者已经拿到整个EOS网络里至高无上的权限,就相当于灭霸把六颗宇宙原石都凑齐了,在宇宙中可以瞬息万变,为所欲为。

背靠安全大脑:六大部署打造区块链防护“上帝视角”

此次360安全团队在EOS平台发现的一系列新型安全漏洞,带来的安全问题不仅仅影响EOS,也可能影响其他类型的区块链平台与虚拟货币应用。

360董事长周鸿祎表示,区块链作为这两年新火起来的技术,它遇到的安全威胁属于新威胁。区块链行业,应该与网络安全行业,做到协同开放,共同构建安全生态。

对此,360安全团队前瞻性地提出了EOS节点安全解决方案,即将出块节点放在了P2P和HTTP节点集群之后以保障出块节点的安全。出块节点的前端,严格限制访问策略,只有信任的节点才可以接入到出块节点。在出块节点的后端,部署专门的安全管理堡垒机,对出块节点的私钥进行管理。

依托安全大脑的积累,360节点安全方案分别在物理安全、平台安全、网络安全、系统安全、应用安全和数据安全六方面进行防御部署,并将安全设备以及日志等信息发送到EOS超级节点智能感知系统。

超级节点智能感知系统作为安全大脑数据采集的重要环节,将与云端的360安全大脑进行联动,利用大数据、人工智能技术进行分析和计算,实时感知网络安全运行状况和安全态势。此外,该系统也能够一定程度上预测可能要发生的攻击,监测和发现正在发生的攻击。在发现攻击后,会自动响应,协同分布在网络中的网络安全设备和软件对攻击进行处置,支撑应急指挥。

[责任编辑:陶媛]

[值班总编推荐] 粉丝经济为啥难管

[值班总编推荐] 习近平抵达阿联酋阿布扎比

[值班总编推荐] [光明...

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有