“網紅”柚子幣EOS 的安全問題又雙叒叕被搬上了臺面。昨日，據360Vulcan 團隊情報稱，EOS 智能合約底層 asset 類存在嚴重缺陷。這已經是自2018年以來，EOS第四次因安全問題而被曝光與質疑。

問題不斷，安全漏洞頻現

與百萬量級TPS、免手續費等優勢相比，同樣惹眼的還有EOS的安全漏洞問題。自從EOS被360曝出存有“史詩級”漏洞后，有關EOS的安全隱患問題，便開始層出不窮的涌現而出。

2018年5月29日 360披露EOS存有“史詩級”漏洞

5月29日，360安全衛士發布微博稱，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，也就是說黑客可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。控制了系統中全部的節點后，黑客可以竊取EOS超級節點的密鑰，控制EOS網絡的虛擬貨幣交易，獲取EOS網絡參與節點系統中的其他金融和隱私數據等。

29日凌晨，360第一時間將該類漏洞上報EOS官方，并協助其修復安全隱患。EOS網絡負責人表示，在修復這些問題之前，不會將EOS網絡正式上線。
受此影響，EOS短線大跌，單幣價值一度跌破11美元，最低跌至10.7美元/枚。

2018年7月11日 PeckShield曝光EOS平臺上的秘鑰存有安全隱患

PeckShield在分析EOS賬戶安全性時發現，部分EOS用戶正在使用的秘鑰存在嚴重的安全隱患。

該隱患的根源在于部分秘鑰生成工具，允許用戶采用強度較弱的助記詞組合，這種組合方式形成的秘鑰極其容易存在“彩虹”攻擊，致使用戶的賬戶數字資產被盜。

據悉，截止到7月13日，EOS累計通過安全賬號向用戶退還3163個EOS Token。

數據來源：CoinMarketCap

2018年7月16日 IMEOS宣稱EOS假賬號安全風險預警

IMEOS發布消息稱，EOS假賬號安全風險預警。隨后慢霧區提醒，如果EOS錢包開發者沒有對節點確認進行嚴格判斷（比如應該至少判斷 15 個確認節點才能告訴用戶賬號創建成功），那么就可能出現假賬號攻擊。

此次攻擊步驟大致分為三步：

1.用戶使用某款EOS錢包注冊賬號（比如aaaabbbbcccc），錢包提示注冊成功，但由于判斷不嚴格，這個賬號本質是還沒注冊成功；

2.用戶立即拿這個賬號去某交易所做提現操作；

3.如果這個過程任意環節作惡，都可能再搶注aaaabbbbcccc這個賬號，導致用戶提現到一個已經不是自己賬號的賬號里。

可以說，“史詩級”漏洞風波在一定程度上為EOS提供了營銷方面的助攻，然而好景不長，在進入6月之后，EOS的價格開始進入持續下跌的狀態，截止到7月19日13時，EOS最低已跌至8.37美元/枚。

2018年8月3日 360Vulcan 團隊情報稱EOS 智能合約底層 asset 類存在嚴重缺陷

據360Vulcan 團隊情報稱，EOS 智能合約底層 asset 類存在嚴重缺陷，在數值計算時存在溢出風險，目前 360Vulcan 團隊已反饋給 EOS 官方漏洞平臺。這與慢霧安全團隊7 月 25 日預警的 EOS 狼人游戲出現溢出攻擊的根源有一定關系，狼人團隊與慢霧取得聯系后，與 360Vulcan 團隊都通過對合約源碼進行審計發現，asset 計算存在該溢出問題。

短短三個月，EOS的安全隱患問題如翻涌的潮水，一波接一波的涌入了大眾的視線。

關于EOS的安全性，各路人士的觀點大相徑庭

360核心安全事業部安全研究員彭峙釀認為，“EOS的漏洞，大多數是軟件實現上的漏洞，是所有軟件項目都會面臨的問題，并非EOS獨有，也非公鏈項目獨有，與DPOS機制無關，也并非區塊鏈技術本身的缺陷。”

對于EOS漏洞頻現的狀況，星云鏈聯合創始人兼CTO鐘馥百認為，EOS的安全漏洞，與其安全審計有著密切的關系。

不忍直視EOS安全漏洞的康奈爾大學區塊鏈研究員EminGünSirer，不僅曾批評EOS開發者并未及時尋求共識協議專家的幫助，更是于近期，在其Twitter中表示，“明年將會有一場大規模利用EOS漏洞的黑客攻擊。”

不同于EminGünSirer的委婉，針對于EOS的安全問題，Nick Szabo直指：EOS憲法本身就是安全漏洞。

對于種種外界的批評，EOS社區負責人ThomasCox表示，任何軟件都有漏洞，BP和工程師修復主網并使它重新上線預示著未來會非常好，比特幣和以太坊初始階段，由于沒有人用，所以沒有人理會它們的漏洞。

ThomasCox的言下之意，暗指漏洞問題稀松平常，EOS的安全性一再受到外界質疑，不無與其知名度有關。