區塊鏈平臺驚現史詩級高危漏洞，可徹底控制虛擬貨幣交易！

近日，360公司宣佈Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞能夠在EOS節點上遠程執行任意代碼，便可以經過遠程攻擊，直接控制和接管EOS上運行的全部節點。

29日凌晨，360已將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網絡負責人表示，在修復這些問題以前，不會將EOS網絡正式上線。

足以轟癱數字體系的區塊鏈漏洞

傳統軟件領域的漏洞可能被利用來發起網絡攻擊，形成數據、隱私的泄露甚至實際生活的影響。而數字貨幣自己是一套金融體系，在數字貨幣和區塊鏈網絡中的安全漏洞，每每會有更嚴重、更直接的影響。

因爲區塊鏈網絡去中心化的計算特色。一個區塊鏈節點實現上的安全漏洞，可能引起成千上萬的節點遭到攻擊。甚至，在傳統軟件漏洞領域被認爲相對危害較小的拒絕服務漏洞，在區塊鏈網絡中則可能引起整個網絡癱瘓的風暴攻擊，對整個數字貨幣系統形成巨大沖擊。

EOS超級節點攻擊：虛擬貨幣交易徹底受控

在攻擊中，攻擊者會構造併發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而致使網絡中全部全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包服務器節點等）被遠程控制。

因爲已經徹底控制了節點的系統，攻擊者能夠「隨心所欲」，如竊取EOS超級節點的密鑰，控制EOS網絡的虛擬貨幣交易；獲取EOS網絡參與節點系統中的其餘金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。

更有甚者，攻擊者能夠將EOS網絡中的節點變爲僵屍網絡中的一員，發動網絡攻擊或變成免費「礦工」，挖取其餘數字貨幣。

區塊鏈安全隱患亟待關注

EOS是被稱爲「區塊鏈3.0」的新型區塊鏈平臺，目前其代幣市值高達690億人民幣，在全球市值排名第五。

在區塊鏈網絡和數字貨幣體系中，節點、錢包、礦池、交易所、智能合約等都存在不少的攻擊面，360安全團隊稱，這類型的安全問題不單單影響EOS，也可能影響其餘類型的區塊鏈平臺與虛擬貨幣應用。

數字貨幣節點、錢包、礦池及智能合約等是安全漏洞爆發的高危地帶，而隨着相關區塊鏈技術的不斷推動和應用的陸續落地，這些相對高風險應用領域會面臨愈來愈多的新型威脅、遭遇更加複雜猛烈的攻擊。幾維安全推出全新區塊鏈安全解決方案，採用KiwiVM對區塊鏈中的核心技術進行虛擬化保護。能夠及時發現針對區塊鏈業務的帳戶仿冒、系統破解、漏洞利用等風險威脅，有效保護數據、帳戶以及資金安全，知足不一樣區塊鏈業務場景的安全需求。

幾維安全團隊表示，目前區塊鏈的安全防禦手段和措施還處於早期階段，滯後於當前的應用進展，但願這次漏洞的發現和披露，可以引發業界和安全同行在區塊鏈安全性上更多的重視和關注，共同加強區塊鏈網絡的安全。