快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

警惕 | 恶意EOS合约存在吞噬用户RAM的安全危害

EOS,是专程为商用分布式应用而设计的一款高性能区块链操作体系,是一种新的区块链架构,旨在完成份布式应用的高性能扩大。EOS的发布,被誉为区块链3.0时代的到来。

1.jpg

类似于区块链2.0时代的以太坊手艺,EOS一样支持部署以及运行智能合约。EOS的智能合约捏造机基于WASM,即Web Assembly,它是谷歌、苹果、微软等众多公司同时支持的一种中间代码(字节码), 用于在阅读器中高效执行原本javascript引擎执行的内陆逻辑。经常使用说话(c/c++等)编写的程序可以编译成wasm字节码,黑客工具,也就是说EOS智能合约兼容所有效c, c++等高级说话编写的程序。同时wasm字节码既可以编译成机器码后执行,又可以使用诠释器直接执行, 兼容性以及性能统筹。

在EOS智能合约执行过程中,需要消费EOS节点的cpu以及内存资源,这些资源按照交易发生时的CPU资源以及RAM资源价格,支付给EOS节点,以前一段时间被爆炒的RAM价格就可以看到RAM的稀缺性。

漏洞风险

本次发现的漏洞,正好会导致用户账户内的RAM可能被恶意消费,诱发直接财产丧失。

恶意EOS合约存在吞噬用户RAM的安全危害,需要引起各大交易所、钱包、token空投方、DApp、用户等的警惕,避免遭遇丧失。

表露过程

安全起见,我们已经通知blockone,漏洞细节后续将在「美图区块链实验室」公众号、FreeBuf及别的媒体平台表露。

防御手段

相干项目方在做转账操作时可通过命令行 “cleos get code” 判定目标地址是否为合约地址,避免RAM被恶意吞噬导致丧失。

另外在问题未解决之前,可以缩小用来转账的账户持有的 RAM 数量,绝可能避免遭遇丧失。

如发现转账过程中RAM使用异常,可以第一时间联系我们:security@meitu.com。 

美图区块链实验室&美图安全应急响应中心联合声明

*

您可能还会对下面的文章感兴趣: