BM, blok zincirine panik ve yüksek profilli giriş, "epik boşluklar" veya "destansı pazarlama" yaratmaktan 360'ı kınıyor?
Bu yüksek profilli sızıntı olayının arkasında en büyük kazanan 360 mı?
29 Mayıs'ta İnternet şirketi 360, tüm blockchain medyasının manşetlerine hükmetti.Sadece kullanıcıların dikkatini çekmeyi başarmakla kalmadı, aynı zamanda piyasa iniş çıkışlarla dalgalandı. Topluluk, bunun 360'ın blok zincirine girişinin yüksek profilli duyurusunda bir kilometre taşı olarak görülebileceğine inanıyor.
Olay öğlen Weibo hesabı "360 Security Guard" a gönderilen bir mesajdan kaynaklandı. Haberlere göre, 360 şirketi Vulcan (Vulcan) ekibi, blok zinciri platformu EOS'da bir dizi yüksek riskli güvenlik açığı keşfetti. Bu güvenlik açıklarından bazılarının EOS düğümlerinde uzaktan keyfi kod çalıştırabildiği, yani uzaktan saldırılar yoluyla EOS üzerinde çalışan tüm düğümleri doğrudan kontrol edebildiği ve ele geçirebildiği doğrulandı. Bu güvenlik açığının önemi, akıllı sözleşme sanal makinesinde keşfedilen yeni bir güvenlik açığı türü olmasıdır. 360 ekibi şunları söyledi: "360, blok zincirinde epik bir boşluk buldu."
Ancak Babbitt, EOS geliştiricisi BM'nin (Daniel Larimer) dün gece geç saatlerde yanıt verdiğini belirtti: 360'ın resmi duyurusundan önce, güvenlik açığı düzeltildi.
Sabit bir güvenlik açığı nasıl haber manşetlerine dönüştü?
Saat farkı nedeniyle EOS teknik ekibi, 360 yetkilisi haberi yayınladığında zamanında yanıt veremedi ve olay belirsizliğin ortasında mayalanmaya devam etti. Gerçek bir güvenlik olayı meydana gelmemiş olmasına rağmen, EOS fiyatları küresel pazarda ortalama% 8 düşüşle piyasa paniği ortasında düşmeye devam etti.
Haberin yayınlanmasından birkaç saat sonra, EOS işletme şirketi Block.one CEO'su Brendan Blumer, telgraf grubunda yanıt verdi:
"Geliştirme ekibimiz hala uyuyor olsa da, Block.one zaten bildirilen her şeye dikkat ediyor. Halkın sürekli olarak incelenmesi için minnettarız, bu nedenle açık kaynak projeleri bu kadar güçlü olabilir. Nasıl olacağına odaklanalım. Daha güvenli bir İnternet ve diğer yapıcı şeyler inşa etmek; hepimiz çok heyecanlıyız. "
Ve BM'nin telgraf grubunda söylediği haberin yayınlanmasından yaklaşık on saat sonra,
"Çin'in güvenlik açığı haberleri bir FUD'dir (panik yaratmak olarak anlaşılabilir). Haberler yayınlanmadan önce, tüm güvenlik açıkları düzeltildi. Panik yayılmasını yaratan hatanın göndericisi, ödül ve tanınma hakkını kaybedecek."
Güvenlik açığı 360'ın duyurulmasından önce düzeltilmiş olsa da, resmi 360 el yazması bu noktayı küçümsedi. EOS ekibinin haberin gönderilmesinden bu yana zamanında yanıt veremediği birkaç saat içinde, topluluğun güvenlik açığı gerçeklerine ilişkin yargısında büyük bir belirsizlik vardı ve EOS'un piyasa değeri 10,4 milyar ABD dolarından 9,7 milyar ABD dolarına düştü.
360, EOS güvenlik açıklarını nasıl keşfetti?
Öğleden sonra, 360 güvenlik ekibinden Yuki Chen ve Zhiniang Peng, EOS güvenlik açığını keşfetme ve bunu Qihoo 360 teknik blogunda EOS teknik ekibine bildirme sürecini duyurdu. Alıntı şu şekilde derlenmiştir:
Güvenlik açığı açıklaması:
WASM dosyalarını ayrıştırırken, EOS'un arabellek taşması yazma güvenlik açığını keşfettik ve başarıyla kullandık.
Bu güvenlik açığı sayesinde, bir saldırgan, düğüm sunucusu sözleşmeyi çözdükten sonra düğüm sunucusuna kötü niyetli bir akıllı sözleşme yükleyebilir, düğüm sunucusu kötü amaçlı sözleşmeyi ayrıştırır ve ardından kötü amaçlı sözleşme sunucuda yürütülür ve ardından düğüm sunucusunu kontrol eder.
Düğüm sunucusunu kontrol ettikten sonra, saldırgan kötü amaçlı sözleşmeyi yeni bir bloğa paketleyebilir ve EOS ağının tüm düğümlerini daha fazla kontrol edebilir.
Rapor ayrıca güvenlik açığının 11 Mayıs'ta keşfedildiğini ve 360 güvenlik ekibinin 29 Mayıs'ta EOS ekibiyle iletişime geçtiğini gösterdi. EOS ekibi, GitHub'daki güvenlik açığını giderdi. 29 Mayıs'ta güvenlik açığının olmadığı fark edildi. Onarım tamamlandı.
Rapora ekli 360 güvenlik ekibi ile BM arasındaki görüşmenin ekran görüntüsünde, güvenlik açığının varlığının öğrenilmesinin ardından BM'nin, güvenlik açığı onarımı tamamlanmadan EOS ana ağını serbest bırakmayacağını ifade ettiği görülüyor. Aynı zamanda, 360 ekibinin güvenlik açığını kendisine özel olarak bildireceğini umuyorum çünkü bazı insanlar herkese açık test ağını kullanıyor. Sohbet ekran görüntüsünün sonunda güvenlik açığı düzeltildi.
"Destansı boşluklara" sahip EOS sıfırlama riski altında mı?
Resmi 360 ekibi tarafından yayınlanan haber, güvenlik açığını "destansı" olarak nitelendirdi ve bunun "tüm dijital para sistemini felç etmeye yeterli" olduğunu ve "sanal para işlemlerini tam olarak kontrol edebileceğini" söyledi.
Olay toplumda canlı bir tartışmayı tetikledi. SlowMist Technology Co.'nun kurucu ortağı, 360 tarafından keşfedilen boşluğun gerçekten çok ciddi olduğunu söyledi. Asıl şu olmalıdır: kötü niyetli sözleşme > Sözleşmeli sanal makine penetrasyonu > Kontrol sunucusu. Aynı zamanda, EOS süper düğüm saldırıları için birkaç giriş noktası ortaya çıkardı: 1. P2P bağlantı noktası; 2. RPC bağlantı noktası; 3. Kötü amaçlı akıllı sözleşme; 4. Sunucular ve kümeler gibi diğer kusurlar; 5. Personel güvenlik kusurları.
Sözde "destansı" boşluk deliğinin etkisi ne kadar büyük? Panik toplumda mayalanırken, EOS sıfırlama hakkında konuşmalar çok yaygınlaştı. EOS süper düğümüne katılan Oulink Technology, Babbitt'e "EOS sıfıra dönmeyecek" dedi. Aynı zamanda Oulink Technology, 360'ın bu güvenlik açığını duyurma tutumunu onayladı ve bunun EOS ve hatta gelecekteki blockchain güvenliği için uzun vadeli bir fayda olduğuna inanıyor.
"A) Öncelikle, EOS başlatıldıktan sonra 0 günlük saldırı olasılığını önlemek için güvenlik açığı EOS resmi olarak başlatılmadan önce duyurulur. Bu güvenlik açığının ilk kez keşfedilmesi veya diğer bilgisayar korsanları tarafından kullanılması halinde tüm projede onarılamaz bir hasara neden olacağı düşünülebilir.
b) EOS, güvenlik açığını resmi olarak kurtarmadan önce, 360 güvenlik açığının çok fazla detayını açıklamadı ve bu da bu güvenlik açığının kötüye kullanılması olasılığını ortadan kaldırdı.
c) Şu anda 360'lık devasa bir hacme sahip güvenlik şirketleri, EOS gibi halka açık zincir projelerine halkın refahı ile erişmeye başladılar ki bu, geleneksel İnternet güvenlik teknolojisi şirketlerinin blockchain alanına dikkat etmeye ve müdahale etmeye başladığını gösteriyor. Bu, gelecekteki blockchain projelerinin, özellikle de halka açık zincir projelerinin güvenliği için uzun vadeli bir fayda olacaktır. "
Bununla birlikte, toplulukta, güvenlik açığının 360 resmi değerlendirmesinin çok ciddi olduğu ve spekülasyon eksikliği olmadığı yönünde bazı görüşler de var.
Bytom'un kurucusu Duan Xinxing, bir Weibo değerlendirmesi yayınladı,
"Kabaca bakıldığında, bellek taşmasına neden olabilen, WASM'nin üzerine yazmak için süper ayrıcalıklar kazanabilen, yeni yürütülebilir kod dolduran ve kötü niyetli işlemler gerçekleştiren bir dizi sınır dışı güvenlik açığıdır. Bu tür güvenlik açığı çok yaygındır, nasıl destansı hale gelebilir? BM için ilk kez bir Assert karar kontrolü ekliyor (maalesef geçersizdir, hiçbir yerde onarılamayabilir). Aslında, bir güvenlik işlevi ile de çalıştırılabilir. Bu boşluğu düzeltmenin zor olmadığını düşünüyorum.
CSDN başkan yardımcısı Meng Yan halka açık bir röportajda şunları söyledi:
"Bu olay, 360 güvenlik ekibinin gücünü yansıtıyor ve aynı zamanda küresel blockchain teknolojisi topluluğunun homojen bir blockchain ağının doğasında var olan sorunları incelemesine yardımcı olabilir. Bununla birlikte, 360 duyuru abartılıyor ve halkla ilişkiler ciddidir. Daha sakin olabilirse, Daha fazla ayrıntı daha iyi olacak. "
"Destansı" pazarlama: 360 en büyük kazanan mı?
Panik içinde, olayın diğer tarafı 360, kendisine yeterince dikkat çekmiştir.
Öğleden sonra, 360'ın başkanı ve CEO'su Zhou Hongyi Weibo'da 360'ın EOS süper düğümü için bir güvenlik çözümü yaptığını duyurdu.
"360 Security Brain tarafından keşfedilen blok zinciri güvenlik açıkları" on milyarlarca dolardan "daha değerli. Yasadışı bir şekilde istismar edilirlerse, EOS üzerinde çalışan tüm düğümlere uzaktan saldırıp kontrol edebilir ve onları ele geçirebilirler. Ciddi durumlarda, EOS ve tüm sanal para piyasası Waterloo ile karşılaşacaktır. Yılın başından bu yana 360, blockchain güvenliği konusunda çok sayıda araştırma yaptı ve EOS süper düğüm güvenlik çözümleri dahil olmak üzere birçok blockchain güvenlik çözümü yaptı. "
Daha sonra, aynı günün öğleden sonra, blok zinciri ile ilgili bir dizi şirket, 360 ile işbirliğini açıkladı:
Oulink Technology, EOS süper düğüm güvenlik çözümlerini ortaklaşa oluşturmak için 360 Security Brain'i kullanmak üzere 360 ile işbirliği yapacak.İşbirliği içeriği, Oulink Teknolojisine blockchain güvenlik teknolojisi sağlamak ve blockchain güvenlik hizmetleri vb. Sağlamak için 360 Security Brain içerir;
EOSLaoMao ayrıca, ağ güvenliği bakımı ve saldırı erken uyarı konularında çaba göstermek üzere ortak bir araştırma ve geliştirme ekibi kurmak için 360 ile stratejik bir işbirliğine ulaştığını duyurdu;
Binance, 360 ile derinlemesine bir güvenlik işbirliğine ulaştığını duyurdu. 360, Binance'e bir dizi akıllı sözleşme kodu denetim hizmeti ve uzun vadeli güvenlik testi hizmetleri sağlayacak.
Aynı dönemde 360, Pekin'deki genel merkezinde EOS zafiyeti ile ilgili bir medya iletişim toplantısı düzenledi, zafiyetin ayrıntılarını analiz etti ve zafiyete yönelik yerinde saldırıları gösterdi. 20'den fazla cüzdanı test ettiğini ve cüzdanların% 80'inin var olduğunu tespit ettiğini belirtti. Az ya da çok boşluk. Bundan önce 360, Monero'da bir güvenlik açığı sundu, Birkaç gün sonra Ethereum'un güvenlik açığı sunulacak.
Akşam medyada çıkan haberlere göre 360, savunmaları altı açıdan dağıtmak için 360 güvenlik beyni birikimine güveneceğini duyurdu: fiziksel güvenlik, platform güvenliği, ağ güvenliği, sistem güvenliği, uygulama güvenliği ve veri güvenliği.
Sadece bir öğleden sonra 360, EOS süper düğüm güvenlik çözümleri sağlamak için açıklamayı tamamladı, bir güvenlik açığı analizi medya iletişim toplantısı düzenledi ve bir dizi blockchain endüstrisi şirketiyle güvenlik işbirliğine ulaştığını duyurdu. Bu hareketin, blok zincirine girmek için ücretsiz ve büyük bir "epik" pazarlama yapma fırsatını yakalayan 360 olduğu düşünülüyor.
Blockchain güvenliği, derinlemesine tartışmaya ve dikkate almaya değer bir konudur. Blockchain geliştirme sürecinde hatalar olması kaçınılmazdır.Proje ekibi zamanında kendi kendini denetlemeli ve onarımları bulmalıdır.Yatırımcıların çok fazla paniğe kapılmasına gerek yok. Aynı zamanda, durumdan yararlanarak pazarlama ılımlı olmalı ve piyasayı bozma pahasına olmamalıdır.
Bununla birlikte, 360'ın bu fırsat pazarlamasını kullanmasının doğası, resmi olarak blok zincirine adım atan geleneksel İnternet alanında büyük bir güvenlik teknolojisi şirketi olarak kabul edilebilir. Blockchain topluluğunun yarısı EOS konusunda endişeli olsa da, uzun vadede EOS ve tüm blockchain ekosistemi için iyi bir şey olmayabilir.
Ancak şu anda, topluluk EOS ana ağ lansmanının bu olayın etkisi altında ertelenip ertelenmeyeceği konusunda daha fazla endişe duyabilir mi? Ne düşünüyorsun?
Metin: Mengda
Yazının kaynağı: Babbitt Bilgileri ( Telif Hakkı Beyanı:
Yazar hakkını saklı tutar. Makale, yazarın bağımsız bakış açısıdır ve Babbitt'in görüşünü temsil etmez.
