我們發現并成功地利用了EOS中的緩沖區越界寫漏洞。通過利用該漏洞,攻擊者可以將惡意的智能協議上傳到節點服務器,在節點服務器解析該協議后,惡意協議可以在服務器上執行并控制該服務器。在控制了節點服務器后,攻擊者可以將惡意合約打包到新的塊中,進一步控制EOS網絡
康奈爾大學教授Emin Gün Sirer 在Twitter上表示,他認為明年將會有一場大規模利用EOS漏洞的黑客攻擊。“考慮到開發人員處理關鍵安全問題的方式,這一攻擊的出現將很可能是不可避免的。”
在區塊鏈網絡和數字貨幣體系中,節點、錢包、礦池、交易所、智能合約等都存在很多的攻擊面,360安全團隊此前已經發現和揭露了多個針對數字貨幣節點、錢包、礦池和智能合約的嚴重安全漏洞。
