EOS по-прежнему исправляет «эпические уязвимости» всего за несколько дней до запуска
29.
мая.
2018
Очень ожидаемый блокчейн-проект EOS находится всего в нескольких днях от запланированного запуска, но его команда разработчиков по-прежнему исправляет то, что исследователи безопасности назвали «эпическими уязвимостями», присутствующими в его кодовой базе.
Китайская корпорация кибербезопасности Qihoo 360 во вторник сообщила, что она выявила недостатки безопасности, которые позволили бы злоумышленникам использовать вредоносный смарт-контракт, чтобы получить контроль над «всеми узлами сети EOS» и манипулировать транзакциями по своему усмотрению. Злоумышленники также могут de factoпревратить эти узлы в бот-нет, который затем они могут использовать для создания другой криптовалютной сети или даже для запуска кибер-атаки.
Из отчета:
«Злоумышленники могут украсть приватный ключ супернод или контролировать содержимое новых блоков. Более того, злоумышленники могут поместить вредоносный контракт в новый блок и опубликовать его. В результате все полные узлы во всей сети будут контролироваться злоумышленниками».
Раскрытие уязвимости сразу вызвало вопросы о том, запустит ли EOS свой код в начале июня по расписанию.
Создатель EOS Block.one еще не рассмотрел проблему публично и не сразу ответил на запрос. Тем не менее, Qihoo 360 опубликовала скриншоты, свидетельствующие о том, что ее команда была в контакте с ведущим разработчиком EOS Даниэлем Ларимером, который быстро исправил проблему на GitHub.
Тем временем, Лаример объявил о награде за найденные баги, чтобы мотивировать разработчиков исправлять оставшиеся уязвимости перед выпуском релизной версии программного обеспечения. Исследователи могут получить вознаграждение в размере 10 000 долларов за каждую уникальную ошибку, которая «может вызвать крах, эскалацию привилегий или не детерминированное поведение в смарт-контрактах».