В блокчейне EOS найдена критическая уязвимость. Проблема решена, но осадок остался

EOS — новая блокчейн-платформа, которую также называют «блокчейн 3.0». Криптовалюта занимает пятое место в мировом рейтинге. За монету дают 11,70 доллара, тогда как её рыночная капитализация составляет 10,38 миллиарда долларов. Сегодня в коде нашли критическую уязвимость, которая напугала всех держателей EOS.

Уязвимость нашли сотрудники команды 360 Vulcan security. Подробности представители китайской cnLedger изложили на Reddit.

5/ English version (Google translation) of the report by 360 company on discovering EOS vulnerabilities, posted by /u/ezpzfan324:https://t.co/EymsIVMMkl

— cnLedger [Not giving away ETH] (@cnLedger) May 29, 2018

Накануне инженеры 360 Vulcan security обнаружили уязвимости с высокой степенью риска в коде блокчейна EOS. Некоторые из них позволяли дистанционно запускать вредоносный код и таким образом обеспечивали полный контроль над узлами сети.

Наличие бага подтвердил разработчик EOS. По его словам, команда не будет запускать мейннет до решения проблемы. Напомним, старт сети запланирован на 1 июня.

Чем опасны уязвимости в сети криптовалюты

Дырки в традиционном программном обеспечении могут быть использованы для проведения кибератаки, воровства личных данных и влияния на реальную жизнь. Поскольку цифровые валюты представляют из себя набор финансовых систем, взлом сетей крипты может обернуться более серьёзными проблемами.

Хакер может получить власть над сетью и выполнить любое действие, против которого выступает сама суть децентрализации.

Атака на EOS. Подробности

Успех потенциальной атаки обеспечивало использование смарт-контрактов. Злоумышленники могли создать и опубликовать смарт-контракт со встроенным вредоносным кодом. Затем супернода EOS выполняла контракт и таким образом открывала дыру в системе безопасности.

Автор атаки мог повторно использовать суперноду для вставки вредоносного контракта в новый блок, из-за чего со временем он получал дистанционный контроль над всеми полными нодами сети. К последним относятся альтернативные суперузлы, точки перезагрузки, серверные узлы цифровых кошельков и так далее.

После обретения полного контроля над нодами хакер получал практически полную свободу действий. Он мог украсть ключ от суперноды EOS, контролировать проведение транзакций с виртуальными валютами в сети EOS, а также получать конфиденциальные финансовые данные по типу ключей пользователей и личной информации владельца монет.

В результате это могло привести к мини-апокалипсису. К счастью, проблему решили практически мгновенно. Выпуск патча подтверждает Cointelegraph.

В этот раз вроде как обошлось. Надеемся, разработчики ещё раз проверят код на наличие возможных дырок в безопасности. Залатывание их за день до запуска основной сети явно испортит отношение пользователей.

Источник