Qihoo 360, крупнейшая китайская компания по интернет-безопасности, недавно опубликовала объявление о том, что предстоящий запуск EOS mainnet, запланированный на 2 июня, может быть отложен из-за ряда уязвимостей безопасности, которые могут нанести ущерб всей сети EOS.
В объявлении 29 мая говорится, что команда 360 определила недостаток в коде EOS, который позволил бы удаленно скомпрометировать узлы в сети EOS:
«Недавно команда 360 Vulcan обнаружила ряд высокорисковых уязвимостей безопасности в блокчейн-платформе EOS. Было проверено, что некоторые из этих уязвимостей могут удаленно выполнять произвольный код на узле EOS. То есть удаленные атаки могут напрямую контролировать и захватывать все узлы, работающие на EOS».
В настоящее время команда разработчиков EOS продвигается к запуску платформы EOS 2 июня, с такими биржами, как Binance, Bitfinex и Kucoin, которые объявляют о поддержке перехода от токена EOS ERC-20 к новому блокчейну EOS.
Но запуск может быть прерван, если команда разработчиков EOS не сможет исправить сбой, выявленный Qihoo 360, до даты запуска. Qihoo 360 говорит, что сеть EOS позволяет злоумышленникам публиковать smart contract, содержащий код, который потенциально может создать вектор атаки.
Дефект, выявленный командой Qihoo 360, может быть использован для переупаковки вредоносного контракта в новый блок, который затем приведет к удаленному управлению всеми полными узлами в сети.
«Поскольку система узла полностью контролируется, злоумышленник может «делать что хочет», воровать ключ супер узла EOS, контролировать криптовалютные транзакции в сети EOS; приобретать другие финансовые и конфиденциальные данные в сети EOS, участвующие в системе узлов – такие как ключи пользователей, хранящиеся в кошельке; ключи от профилей пользователей, приватные данные и т.д.», – говорит команда Qihoo 360.
Команда Qihoo 360 сообщила об уязвимости должностным лицам EOS 29 мая и стала активно работать с командой разработчиков EOS, чтобы убедиться, что проблема устранена до запуска EOS Mainnet.
Ответственный за сеть EOS сказал, что сеть EOS не будет официально запущена, пока эти проблемы не будут устранены.
По данным китайского информационного агентства Jinse, недостаток безопасности, выявленный командой Qihoo 360, был изолирован и решен командой разработчиков EOS в 2 часа дня 29 мая.