■本报记者 邢萌
近日,Netta实验室表示,和清华大学软件学院动态分析小组合作发现以太坊智能合约虚拟机(EVM)重大漏洞,目前该漏洞已被国际安全组织CVE认证。
Netta研究院院长、IEEE国际软件测试验证大会会议主席杨子江认为,此次漏洞级别堪称严重,如被利用,或将严重影响整个以太坊经济模型,对全球运行多数公链造成冲击。
杨子江前日在接受《证券日报》记者采访时表示,Netta研究院在与清华大学软件学院动态分析小组合作项目中,发现以太坊EVM重大漏洞。“当时,我们用自主开发的区块链生态系统的自动测试验证工具来做测试,不间断观察分析虚拟机的运行情况,结果于五天前发现以太坊EVM存在严重漏洞。当天,我们将该漏洞提交给CVE,通过了认证,已被系统收录。”他描述道。
据公开信息查询,CVE(CommonVulnerabilities&Exposures,公共漏洞和暴露)是国际著名的安全漏洞库,也是一个由企业界、政府界和学术界综合参与的国际性组织。《证券日报》记者登录CVE官方网站,根据提供发现者的ID,确已查询到了收录信息,但该漏洞描述显示“RESERVED”,漏洞被保密,并未披露具体细节。
“这是一种保护措施,避免漏洞被利用造成损失”,杨子江解释道,“CVE接受的漏洞分为两种情况:一种是漏洞立刻被公布出来;另外一种是相对更严重的漏洞,这种漏洞不能立刻公布,避免在没有被修复的情况下,可能被黑客利用攻击,造成重大损失。这种情况下,CVE不公布细节,会写RESERVED。”
清华大学软件学院助理教授姜宇在接受本报记者采访时认为:“虽然我们动态分析小组目前已经挖掘了数百个常用软件库和工控协议的CVE,但此次EVM的CVE应该是最有分量的之一,EVM的漏洞不同于单个智能合约的漏洞,哪怕是一个小小的问题,影响的都是所有执行在这上面的合约,比如某平台邮箱有一个漏洞,那影响到的就是所有用该平台邮箱的用户。”
扬子江表示,“理论上讲,该漏洞如不加以修复,被黑客利用,可以造成大量‘TheDAO’事件。”
2016年6月份,由于“TheDAO”编写的智能合约存在漏洞,被黑客利用,造成项目方300多万以太币资产损失,按照当时的以太币交易价格,市值近6000万美元。“TheDAO”事件当时被认为是最大的以太坊智能合约漏洞事件。
由于目前“漏洞”细节仍保密,上述Netta实验室和清华大学软件学院动态分析小组合作发现的以太坊智能合约虚拟机(EVM)重大漏洞会对以太坊会形成怎样的影响,《证券日报》记者也将继续求证及跟踪。
京公网安备 11010202007567号京ICP备17054264号增值电信业务经营许可证B2-20181903
