美圖區(qū)塊鏈實(shí)驗(yàn)室公布EOS惡意合約可吞噬用戶RAM的漏洞細(xì)節(jié)
據(jù)IMEOS報(bào)道,一周前美圖區(qū)塊鏈實(shí)驗(yàn)室發(fā)現(xiàn) EOS 惡意合約可吞噬用戶RAM的安全漏洞,并將問題提交 EOSIO 官方,并就漏洞細(xì)節(jié)與官方團(tuán)隊(duì)進(jìn)行了充分溝通。 在經(jīng)過與官方團(tuán)隊(duì)一周的溝通之后,官方已經(jīng)充分理解了漏洞危害,并決定將在后期再挑選合適方案,對這個(gè)漏洞進(jìn)行代碼修補(bǔ)。
為了避免在這段真空期內(nèi)發(fā)生惡意利用攻擊,美圖區(qū)塊鏈實(shí)驗(yàn)室決定將漏洞細(xì)節(jié)公布出來,供社區(qū)研究參考,以方便自查和防御。 EOS 的合約可以通過require_recipient觸發(fā)調(diào)用其他合約,設(shè)計(jì)這樣的機(jī)制給合約的開發(fā)者提供了很大的便利性, 但是也帶了新的問題。某個(gè)用戶給合約轉(zhuǎn)賬,合約可以在用戶不知情的情況下消耗用戶的RAM。
粵公網(wǎng)安備 44030402000745號 