360は仮想通貨取引を完全に制御できる重大なブロックチェーンの脆弱性を発見した

最近、360社のVulcanチームは、ブロックチェーンプラットフォームEOSに一連の高リスクのセキュリティ脆弱性を発見しました。これらの脆弱性のいくつかは、EOS ノード上で任意のコードをリモートで実行できることが確認されています。つまり、EOS 上で実行されているすべてのノードがリモート攻撃によって直接制御され、乗っ取られる可能性があります。

360は29日の早朝、この脆弱性をEOSの担当者にできるだけ早く報告し、セキュリティリスクの修正に協力した。 EOS ネットワークの担当者は、これらの問題が解決されるまで EOS ネットワークは正式に開始されないと述べました。

デジタルシステムを破壊する可能性のあるブロックチェーンの脆弱性

従来のソフトウェアの脆弱性が悪用されてサイバー攻撃が開始され、データやプライバシーが漏洩し、実生活に影響を及ぼす可能性もあります。デジタル通貨自体は金融システムであり、デジタル通貨とブロックチェーン ネットワークのセキュリティ上の脆弱性は、より深刻で直接的な影響を及ぼすことがよくあります。

ブロックチェーン ネットワークの分散コンピューティング特性によるものです。ブロックチェーン ノードの実装におけるセキュリティ上の脆弱性により、数千のノードが攻撃される可能性があります。従来のソフトウェアの脆弱性の分野では比較的害が少ないと考えられているサービス拒否の脆弱性でさえ、ブロックチェーン ネットワーク全体を麻痺させるストーム攻撃を引き起こし、デジタル通貨システム全体に甚大な影響を及ぼす可能性があります。

EOSスーパーノード攻撃：仮想通貨取引が完全に制御される

攻撃では、攻撃者は悪意のあるコードを含むスマート コントラクトを構築して公開します。 EOS スーパーノードはこの悪意のある契約を実行し、その中のセキュリティ脆弱性を引き起こします。次に、攻撃者はスーパーノードを使用して悪意のある契約を新しいブロックにパッケージ化し、ネットワーク内のすべてのフルノード（代替スーパーノード、取引所の入出金ノード、デジタル通貨ウォレットサーバーノードなど）をリモートで制御します。

攻撃者はノードシステムを完全に制御できるため、EOSスーパーノードのキーを盗んだり、EOSネットワークの仮想通貨取引を制御したり、取引所のデジタル通貨、ウォレットに保存されているユーザーキー、主要なユーザー情報、プライバシーデータなど、EOSネットワーク参加ノードシステム内のその他の財務データやプライバシーデータを入手したりするなど、やりたいことを何でも行うことができます。

さらに、攻撃者は EOS ネットワーク内のノードをボットネットのメンバーに変え、ネットワーク攻撃を開始したり、無料の「マイナー」になって他のデジタル通貨を採掘したりすることもできます。

ブロックチェーンネットワークのセキュリティリスクには早急な対応が必要

  EOS は、「ブロックチェーン 3.0」として知られる新しいブロックチェーン プラットフォームです。トークンの市場価値は現在690億元に達し、時価総額では世界第5位となっている。

ブロックチェーンネットワークとデジタル通貨システムでは、ノード、ウォレット、マイニングプール、取引所、スマートコントラクトなどに多くの攻撃対象領域が存在します。360セキュリティチームはこれまでに、デジタル通貨ノード、ウォレット、マイニングプール、スマートコントラクトに複数の重大なセキュリティ脆弱性を発見し、暴露してきました。

360 セキュリティ チームが EOS プラットフォームのスマート コントラクト仮想マシンで発見した一連の新たなセキュリティ脆弱性は、前例のないセキュリティ リスクです。これまでセキュリティ研究者がこのような問題を発見したことはありません。この種のセキュリティ問題は EOS に影響を及ぼすだけでなく、他の種類のブロックチェーン プラットフォームや仮想通貨アプリケーションにも影響を及ぼす可能性があります。

360は、今回の脆弱性の発見と公開を通じて、ブロックチェーン業界とセキュリティ関係者がこうした問題のセキュリティにさらなる注目と関心を払い、共同でブロックチェーンネットワークのセキュリティを強化することを期待していると述べた。