發現區塊鏈史詩級漏洞

1. 最近發現一個創新共識演算法的公鏈項目：GAIAWORLD區塊鏈，怎麼看待現有的區塊鏈公鏈項目

總的來說，區塊鏈公鏈現在競爭激烈，因為公鏈項目是區塊鏈生態的根基，公鏈是系統龐大、極其復雜、難度極高的超級工程。目前整體市場的局面就跟當初的電腦系統問世初期類似，最開始是 LINUX操作系統和UNIX（尤尼斯）的此消彼長，最終卻是WINDOWS稱霸，伴隨蘋果的OS到長期並存的狀態。
 
目前公鏈呼聲最高的無外乎是以太坊和EOS，但是EOS最近爆出史詩級漏洞後，市值大跌，被多家媒體唱衰。往往一開始最看好的不一定能贏到最後，最近因為他們創新的共識演算法，提出了頗有創新性的CPOS，關注了一個新公鏈項目。

名字叫GAIAWORLD公鏈，他們的CPOS共識演算法是他們最核心的技術。具體技術細節可以去官網看看白皮書，總之就是tps速度快達到了新高度，比以太坊快，能夠支撐大型項目的布局。
 
同時他們創新了兩項其他技術，平行鏈技術能夠供其他開發者更容易的發布側鏈，然後是神盾協議，大致是一種特定的智能合約協議。 
 
現在空氣項目那麼多，確實不太好分辨各種項目的好壞，但是我覺得有技術站台才是有未來的。
望採納

2. 區塊鏈安全問題應該怎麼解決

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。
當然，區塊鏈開發者們也可以採取一些措施
一是使用專業的代碼審計服務，
二是了解安全編碼規范，防患於未然。
密碼演算法的安全性
隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA 等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。
當然，除了改變演算法，還有一個方法可以提升一定的安全性：
參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。
共識機制的安全性
當前的共識機制有工作量證明（Proof of Work，PoW）、權益證明（Proof of Stake，PoS）、授權權益證明（Delegated Proof of Stake，DPoS）、實用拜占庭容錯（Practical Byzantine Fault Tolerance，PBFT）等。
PoW 面臨51%攻擊問題。由於PoW 依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。
在PoS 中，攻擊者在持有超過51%的Token 量時才能夠攻擊成功，這相對於PoW 中的51%算力來說，更加困難。
在PBFT 中，惡意節點小於總節點的1/3 時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。
對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。
智能合約的安全性
智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016 年6 月，以太坊最大眾籌項目The DAO 被攻擊，黑客獲得超過350 萬個以太幣，後來導致以太坊分叉為ETH 和ETC。
對此提出的措施有兩個方面：
一是對智能合約進行安全審計，
二是遵循智能合約安全開發原則。
智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug 和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。
數字錢包的安全性
數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014 年底，某簽報因一個嚴重的隨機數問題（R 值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。
應對措施主要有四個方面：
一是確保私鑰的隨機性；
二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；
三是使用冷錢包；
四是對私鑰進行備份。

3. EOS魔方到底啥意思

EOS，可以理解為Enterprise Operation System，即為商用分布式應用設計的一款區塊鏈操作系統。EOS是引入的一種新的區塊鏈架構，旨在實現分布式應用的性能擴展。注意，它並不是像比特幣和以太坊那樣的貨幣，而是基於EOS軟體項目之上發布的代幣，被稱為區塊鏈3.0。 EOS的主要特點如下：
1.EOS有點類似於微軟的windows平台，通過創建一個對開發者友好的區塊鏈底層平台，支持多個應用同時運行，為開發dAPP提供底層的模板。
2.EOS通過並行鏈和DPOS的方式解決了延遲和數據吞吐量的難題，EOS是每秒可以上千級別的處理量，而比特幣每秒7筆左右，以太坊是每秒30-40筆；
3.EOS是沒有手續費的，普通受眾群體更廣泛。EOS上開發dApp，需要用到的網路和計算資源是按照開發者擁有的EOS的比例分配的。當你擁有了EOS的話，就相當於擁有了計算機資源，隨著DAPP的開發，你可以將手裡的EOS租賃給別人使用，單從這一點來說EOS也具有廣泛的價值。簡單來說，就是你擁有了EOS，就相當於擁有了一套房租給別人收房租，或者說擁有了一塊地租給別人建房。

4. 360發現區塊鏈史詩級漏洞是什麼情況

近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

5月29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網路負責人表示，在修復這些問題之前，不會將EOS網路正式上線。

EOS超級節點攻擊：虛擬貨幣交易完全受控

在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程式控制制。

由於已經完全控制了節點的系統，攻擊者可以「為所欲為」，如竊取EOS超級節點的密鑰，控制EOS網路的虛擬貨幣交易；獲取EOS網路參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。

更有甚者，攻擊者可以將EOS網路中的節點變為僵屍網路中的一員，發動網路攻擊或變成免費「礦工」，挖取其他數字貨幣。

來源：科技訊

5. 百億美金漏洞後誰來保障區塊鏈平台安全

6月8日，360曝出的EOS高危漏洞，引起了網間眾多熱議。北京時間6月2日凌晨，EOS官方正式向360安全團隊公開致謝，並提供3萬美元賞金，強烈呼籲安全社區人員共同努力保證EOS軟體安全性的持續提高。

360曝光的EOS漏洞，如果被人利用，可以控制EOS網路裡面的每一個節點、每一個伺服器，不僅僅是接管網路裡面的虛擬貨幣、各種交易和應用，也可以接管節點裡面所有參與的伺服器。可以說，如果有人做一個惡意的智能合約，就能夠把裡面所有的數字貨幣直接拿走。

EOS漏洞的攻擊可以以秒級的速度在多個節點和超級節點之間傳播，從控制節點到生成新塊繼續傳播是連續的、鏈式的爆炸動作，很可能20秒就接管了所有的節點，完成了操作。

想像一下，當攻擊者已經拿到整個EOS網路里至高無上的許可權，就相當於滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為。

來源：中國新聞網

6. 什麼是EOS

在介紹EOS之前，我們還要嘮叨嘮叨區塊鏈應用的發展歷程：
比特幣是區塊鏈技術的首次應用，代表區塊鏈1.0時代的比特幣，偏重的是貨幣屬性；
以太坊代表區塊鏈2.0時代，逐漸脫離貨幣這一單一屬性，更加偏重的是應用層面；
我們接下來要介紹的EOS呢，代表的是區塊鏈3.0時代，那麼，它有什麼特點呢，又帶來了什麼影響呢，我們接下來進入正題。
第一節 落魄程序員的逆襲之作
以太坊彌補了比特幣處理交易速度過慢的問題，但是以太坊並不是非常完美的。盡管以太坊在一定程度上提升了處理交易的速度，但是提升之後的速度還是遠遠不夠的。
比特幣網路處理交易速度是為 7TPS/S（每秒處理 7 筆交易），以太坊處理交易的速度是35TPS/S（每秒處理35筆交易），其實並沒有太大的突破。
我們拿支付寶做一個對比，2017年的雙十一，支付寶峰值處理速度為每秒25.6萬筆交易， 試想如果雙十一全天的交易都放到比特網路上，那麼比特網路將處理 120 年，那個時候阿里巴巴是否存在都是個問題了。
所以說，如果不能解決處理速度的問題，那麼區塊鏈技術的落地將遙遙無期。
這時，EOS應運而生。
EOS的創始人名叫Daniel Larimer，人稱BM。
在區塊鏈領域，BM 的地位僅次於中本聰和 V 神，但是英雄並不是一朝一夕的，BM 在創始EOS之前，受到離婚官司之類的家事纏身，從一個體面的軟體工程師，變成了個即將破產的落魄程序員。
2009年，落寞的BM認識到了比特幣。那時，比特幣剛剛出現，只是存在於一些技術大咖的小圈子裡。
當時，BM 也在那個圈子裡，他認識到，比特幣網路存在的最大缺陷就是處理交易的速度太慢，如此之慢的處理速度是無法滿足日常生活需求的。在 BM 看來，比特幣應該像刷信用卡那樣迅速。
但是，BM並沒有馬上著手部署EOS，而是做了去中心化的交易所，名叫比特股，比特股很成功，BM一戰成名，一躍成為行業大佬。
2015 年，BM 離開比特股，開始著手開發 Steem 區塊鏈，並在這個公鏈上開發了一個內容社交應用——Steemit，Steemit 還沒有中文版，由於語言的限制，國內用戶都不太熟悉這個平台。
2017 年，BM 再次選擇離開，因為他有了一個更加宏大的目標——開發一款類似操作系統的區塊鏈平台，這個大型操作平台就是被稱為代表區塊鏈3.0時代的EOS。
我們剛剛講過，早在2009年BM剛接觸比特幣的時候，他就對比特幣處理交易的速度太慢提出了質疑，那麼他的新項目 EOS 要解決的最大問題，就是提升交易處理的速度，
EOS希望能夠達到百萬級TPS的處理速度。
2017 年 6 月，EOS代幣開始銷售，計劃 355 天銷售10億EOS代幣。但是注意，這個時候EOS並沒有自己的主網，而是基於以太坊系統的代幣，EOS承諾在主網上線後會將這個以太坊基礎版本代幣EOS轉換為其主鏈上的代幣。
EOS 的社區力量非常大，擁有眾多充滿希望和信仰的支持者，因此，在 2017 年 6 月
26-30日，短短的幾天時間，它就銷售出了2億代幣，5天融資1.85億美元，打破了當時
ICO的世界紀錄。當時，人們認為，區塊鏈應用大規模爆發的日子指日可待。
但是，EOS後面的發展比較坎坷。
2018年6月，EOS的主網上線前，被360安全衛士團隊爆出存在「史詩級」漏洞，又有一些負面新聞說它是空氣幣，創始人跑路等等，導致EOS深陷輿論漩渦。
再加上真正實用的區塊鏈應用 DAPP 並沒有出現，EOS 的信仰者也漸漸不淡定了，伴隨著新一輪熊市到來，EOS變得非常慘淡。
但不管怎麼說，相對於以太坊來講，EOS是有一些重大升級的，無論是在交易速度方面還是運作管理方面，都有很大的提升，對於整個區塊鏈的發展歷史來說，EOS已經向前邁出了一大步。
很多人現在都在擔心EOS會不會歸零，我們認為，瘦死的駱駝比馬大，歸零暫時肯定是不可能的。
要知道，EOS自主網上線以來，注冊賬戶達到60萬多， EOS DApp的活躍量、交易量也超越了以太坊，而且EOS的TPS的確提升了很多。只不過，現在是熊市，所有的項目都比較慘淡，就連比特幣的形式也不是很好。熊市雖然慘淡，但是也有機會，如果真的有投資，那麼此時應該做一個復盤，總結一下經驗，對這些曾經風光無限的項目做一個深入的研究，包括它的技術方案、運營方式等等。
當然，有人說，EOS最大風險是BM又跑去做別的東西了。

7. 有很多人在做區塊鏈漏洞賺錢的,是真的賺錢了嗎

現在有很多人在做他的區塊鏈，他的漏洞賺錢的我覺得是真的可以賺到錢的，但是我們她家也是應該通過正規的渠道來選擇的吧。

8. 幣圈答案，價值40億元加密貨幣被盜，黑客究竟是如何操作的

黑客利用區塊鏈數據協同平台Poly Network中的一個漏洞進行攻擊，成功的把這40億加密貨幣給盜走，轉到了其他的賬戶當中，目前整個平台正在緊鑼密鼓地扎捕這些黑客，因為一旦這些貨幣流入到幣圈市場當中，肯定會給市場造成非常大的破壞，甚至還會影響整個大盤的波動。那麼幣圈將會導致一定的價格下跌情況出現。

總結：虛擬貨幣的出現無疑於給人們的金融提供了一條可以發展的途徑，但是這條發展的途徑勢必會充滿風險和艱辛，尤其是現在各個國家政府對這種貨幣不承認，導致這種貨幣完全沒有合法性。所以我們要選擇投資這種貨幣時，一定要擦亮眼睛，經過深思熟慮之後才可以確定是否要投資。

9. 360發現了區塊鏈哪些史詩級漏洞

5月29日消息，近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

區塊鏈網路安全隱患亟待關注

EOS是被稱為「區塊鏈3.0」的新型區塊鏈平台，目前其代幣市值高達690億人民幣，在全球市值排名第五。

在區塊鏈網路和數字貨幣體系中，節點、錢包、礦池、交易所、智能合約等都存在很多的攻擊面，360安全團隊此前已經發現和揭露了多個針對數字貨幣節點、錢包、礦池和智能合約的嚴重安全漏洞。

此次360安全團隊在EOS平台的智能合約虛擬機中發現的一系列新型安全漏洞，是一系列前所未有的安全風險，此前尚未有安全研究人員發現這類問題。這類型的安全問題不僅僅影響EOS，也可能影響其他類型的區塊鏈平台與虛擬貨幣應用。

360表示，希望通過這一漏洞的發現和披露，引起區塊鏈業界和安全同行在這類問題的安全性上更多的重視和關注，共同增強區塊鏈網路的安全。

內容來源 澎湃新聞

10. 區塊鏈面臨哪些風險需要解決的

雖然在資本和人才湧入的推動下，區塊鏈行業迎來快速發展，但是作為一個新興產業，其安全漏洞頻繁示警的狀況引發了人們對區塊鏈風險的擔憂。

國家信息技術安全研究中心主任俞克群指出，對於隱私暴露、數據泄露、信息篡改、網路詐騙等問題，區塊鏈的出現給人們帶來了很多期望。但區塊鏈的安全問題依然存在諸多的挑戰。

中國信息安全測評中心主任助理李斌分析說，當前區塊鏈分為公有鏈、私有鏈、聯盟鏈三種，無論哪一類在演算法、協議、使用、時限和系統等多個方面都面臨安全挑戰。尤為關鍵的是，目前區塊鏈還面臨的是51%的攻擊問題，即節點通過掌握全網超過51%的算例就有能力成功的篡改和偽造區塊鏈數據。

值得注意的是，除了外部惡意攻擊風險，區塊鏈也面臨其內生風險的威脅。俞克群提醒說，如何圍繞著整個區塊鏈的應用系統的設備、數據、應用、加密、認證以及許可權等等方面構築一個完整的安全應用體系，是各方必須要面臨的重要問題。

吳家志也分析說，作為新興產業，區塊鏈產業的從業人員安全意識較為缺乏，導致目前的區塊鏈相關軟硬體的安全系數不高，存在大量的安全漏洞，此外，整個區塊鏈生態環節眾多，相較之下，相關的安全從業人員力量分散，難以形成合力來解決問題。迎接上述挑戰需要系統化的解決方案。

內容來源 中新網