Tuesday , 11 December 2018

У кодовій базі EOS знайдена критична уразливість

Дуже очікуваний блокчейн проект EOS знаходиться всього в декількох днях від запланованого запуску, але його команда розробників працює над виправленням «епічних вразливостей», присутніх в його кодовій базі.

Китайська корпорація кібербезпеки Qihoo 360 у вівторок повідомила, що вона виявила уразливості в системі безпеки, які дозволили б зловмисникам використовувати смарт-контракт з шкідливим кодом, щоб отримати контроль над «всіма вузлами мережі EOS» і маніпулювати транзакціями на свій розсуд. Зловмисник також може перетворити ці вузли в бот-центр de facto, який потім зможе використовувати для створення іншої криптовалютної мережі або навіть для запуску кібер-атаки.

Із звіту:

«Зловмисник може заволодіти приватним ключем основних нодів або контролювати вміст нових блоків. Більш того, зловмисники можуть упакувати шкідливий контракт в новий блок і опублікувати його. В результаті всі повні вузли у всій мережі будуть контролюватися зловмисником».

Розкриття уразливості відразу викликало питання про те, чи відбудеться запуск коду EOS на початку червня за розкладом.

Qihoo 360 пише, що вони повідомили про уразливість команді EOS і, що мережа EOS не буде запущена до тих пір, поки проблеми безпеки не будуть усунені. Місцева новинна стрічка Jinse, заявила, що уразливості були виправлені в той же день, приблизно о 14:00 за стандартним часом Китаю.

Творець EOS Block.one ще не розглянув проблему публічно і не відразу відповів на запит коментаря. Проте, Qihoo 360 опублікував скріншоти, які свідчать про те, що його команда була в контакті з провідним розробником EOS Даніелем Ларімером, який швидко виправив проблему в GitHub.

Він написав:

«При спрацьовуванні будь-якої з цих проблем в релізі, роботу коду буде припинено. Запобігання продовження роботи коду є потенційною вразливістю безпеки і, ймовірно, призведе до збоїв в інших місцях ».

Тим часом, Ларімер оголосив про bug bounty, щоб допомогти розробникам виправити будь-які уразливості, що залишилися  перед випуском 1.0 програмного забезпечення. Дослідники можуть отримати винагороду в розмірі $ 10 000 за кожну унікальну помилку, яка «може викликати крах, ескалацію привілеїв чи детерміновану поведінку в смарт-контрактах».

Ціна на EOS різко знизилася після розкриття уразливості, хоча протягом кількох годин після того, як Ларімер випустив патч, вона відновила деякі з втрат. В даний час EOS торгується в середньому по світу в $ 11,96, що є одновідсоткове зниження по відношенню до долара США, але зниження на 4 відсотки в порівнянні з ETH.

Leave a Reply

Your email address will not be published. Required fields are marked *