近日，360 公司 Vulcan （伏尔甘）团队宣布发现了区块链平台 EOS 的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。

29 日凌晨，360 第一时间将该类漏洞上报 EOS 官方，并协助其修复安全隐患。EOS 网络负责人表示，在修复这些问题之前，不会将 EOS 网络正式上线。而周鸿祎则称此次发现的漏洞价值超过「百亿美金」。

在此次 EOS 的高危漏洞中，攻击者会构造并发布包含恶意代码的智能合约，EOS 超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

由于已经完全控制了节点的系统，攻击者可以「为所欲为」，如窃取 EOS 超级节点的密钥，控制 EOS 网络的虚拟货币交易；获取 EOS 网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

更有甚者，攻击者可以将 EOS 网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费「矿工」，挖取其他数字货币。

360 首席安全工程师郑文彬回应：

5 月 28 日 12 点把漏洞提交给 BM，BM 凌晨完成了部分修复。目前这个漏洞仅仅是 EOS 网络的漏洞，但这是在智能合约虚拟机中发现的新型安全漏洞，是前所未有的安全风险。

比原链创始人段新星表示，本次事件是一个利用数组越界漏洞可导致内存溢出的问题，获得超级权限覆盖掉 WASM 填写新的可执行代码进去，然后进行恶意操作。这种漏洞很常见，并不能成为史诗级的漏洞。BM 第一次是加了 Assert 判定检查，其实也可以包一个安全函数来操作。

比原链首席架构师 James 指出，EOS 想做分布式服务就意味着它会面临相对于比特币更多的问题和挑战。 类似于 EOS 这种不收 gas 的机制，以后也许还会遇到很多复杂的问题。相对而言，有些方面比原虚拟机有收 gas 机制就不会碰到，搞溢出会直接因为内存使用收 gas 导致虚拟机报错退出。比原链与 EOS 一样都是做底层公链技术，都是在慢慢摸索前进方向，不断的修正错误，逐步成长起来。

截止事件结束，据 EOS 官方消息人士称：BM 已经修复了这个漏洞。

链闻 ChainNews：提供每日不可或缺的区块链新闻。

原文作者：比原链
链闻编译：YY
版权声明：文章为作者独立观点，不代表 链闻 ChainNews 立场。