Воскресенье , 24 Июнь 2018

В кодовой базе EOS найдена критическая уязвимость

Очень ожидаемый блокчейн проект EOS находится всего в нескольких днях от запланированного запуска, но его команда разработчиков работает над исправлением «эпических уязвимостей», присутствующих в его кодовой базе.

Китайская корпорация кибербезопасности Qihoo 360 во вторник сообщила, что она выявила уязвимости в системе безопасности, которые позволили бы злоумышленникам использовать смарт-контракт с вредоносным кодом, чтобы получить контроль над «всеми узлами сети EOS» и манипулировать транзакциями по своему усмотрению. Злоумышленник также может превратить эти узлы в бот-центр de facto, который затем сможет использовать для создания другой криптовалютной сети или даже для запуска кибер-атаки.

Из отчета:

«Злоумышленник может завладеть приватным ключом супер нодов или контролировать содержимое новых блоков. Более того, злоумышленники могут упаковать вредоносный контракт в новый блок и опубликовать его. В результате все полные узлы во всей сети будут контролироваться злоумышленником».

Раскрытие уязвимости сразу вызвало вопросы о том, произойдет ли запуск кода EOS в начале июня по расписанию.

Qihoo 360 пишет, что они сообщили об уязвимости команде EOS и, что сеть EOS не будет запущена до тех пор, пока проблемы безопасности не будут устранены. Местная новостная лента Jinse, заявила, что уязвимости были исправлены в тот же день, примерно в 14:00 по стандартному времени Китая.

Создатель EOS Block.one еще не рассмотрел проблему публично и не сразу ответил на запрос комментария. Тем не менее, Qihoo 360 опубликовал скриншоты, свидетельствующие о том, что его команда была в контакте с ведущим разработчиком EOS Даниэлем Ларимером, который быстро исправил проблему в GitHub.

Он написал:

«При срабатывании какой-либо из этих проблем в релизе, работа кода будет прекращена. Предотвращение продолжения работы кода является потенциальной уязвимостью безопасности и, вероятно, приведет к сбоям в других местах ».

Тем временем, Лаример объявил о bug bounty, чтобы помочь разработчикам исправить любые оставшиеся уязвимости перед выпуском 1.0 программного обеспечения. Исследователи могут получить вознаграждение в размере $10 000 за каждую уникальную ошибку, которая «может вызвать крушение, эскалацию привилегий или не детерминированное поведение в смарт-контрактах».

Цена на EOS резко снизилась после раскрытия уязвимости, хотя в течение нескольких часов после того, как Лаример выпустил патч, она восстановила некоторые из потерь. В настоящее время EOS торгуется в среднем по миру в $11,96, что представляет собой однопроцентное снижение по отношению к доллару США, но снижение на 4 процента по сравнению с ETH.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *