我们发现并成功地利用了EOS中的缓冲区越界写漏洞。通过利用该漏洞,攻击者可以将恶意的智能协议上传到节点服务器,在节点服务器解析该协议后,恶意协议可以在服务器上执行并控制该服务器。在控制了节点服务器后,攻击者可以将恶意合约打包到新的块中,进一步控制EOS网络
康奈尔大学教授Emin Gün Sirer 在Twitter上表示,他认为明年将会有一场大规模利用EOS漏洞的黑客攻击。“考虑到开发人员处理关键安全问题的方式,这一攻击的出现将很可能是不可避免的。”
在区块链网络和数字货币体系中,节点、钱包、矿池、交易所、智能合约等都存在很多的攻击面,360安全团队此前已经发现和揭露了多个针对数字货币节点、钱包、矿池和智能合约的严重安全漏洞。
