近日，360公司的Vulcan团队发现了区块链平台EOS的一系列高危漏洞。

经验证，部分漏洞可以在EOS节点上远程执行任意代码，直接控制和接管EOS上运行的所有节点，包括交易所充值提现节点、数字货币钱包服务器节点等。由于区块链网络自身区中心化的特点，一个区块链节点上的安全漏洞一旦被利用，就可能扩散到整个区块链网络。

EOS被称为“区块链3.0”的区块链平台，目前代币市值高达690亿人民币，全球市值排名第五。360安全团队已经于29日凌晨将漏洞上报给官方，并协助其修复安全隐患。EOS网络负责人表示，在这些漏洞修复之前，EOS网络将不会上线。

相关阅读：

360发现区块链史诗级漏洞  可完全控制虚拟货币交易！

>> 腾讯科恩实验室最近发现了14个宝马车漏洞，这些漏洞涉及车载娱乐系统、车辆控制系统、无线通信系统，受到影响的宝马车系最早可以追溯到2012年。其中4个漏洞需要攻击者通过USB直接物理接入车辆，而6个可以远程利用，其余4个需要直接物理接入车辆的计算机。

腾讯的报告中指出这些漏洞能让攻击者对车载计算机实行任意命令，远程发起分析要求。另外，如果攻击者能直接物理接入车辆，USB、以太网和OBD-II端口也会被利用。因为USB以太网接口没有安全限制，它会被攻击者利用接入主要部件并且通过端口扫描检测到内部服务。这些攻击会造成的严重后果之一就是即使在车辆行驶当中，依然会去执行攻击者发出的对引擎控制单位的诊断信息。

宝马已经在全力通过网络和经销商发布安全补丁。同时宝马也表示，这项研究是宝马的安全团队和腾讯联合进行的，标志着“第三方由于他们自身有深度的产品测试和服务能力，正在改善车辆安全中扮演越来越重要的角色”。

>> 研究员最近发现，被上亿物联网设备使用的Z-Wave无线通信协议，会遭受到安全降维打击。

Z-Wave在2001年被开发，2008年被Sigma Designs收购，而近日被Silicon Labs以2.4亿美元收购。该协议如今被700多家公司用于超过2400种物联网以及智能家居设备，包括温度计，锁以及家庭监控系统。研究者发现，攻击者可以在目标设备的信号范围内，在匹配流程中进行过攻击并且破解安全通信。研究人员已经通过破解Yale智能锁示范了“Z-Shave”的攻击方式，而这种方式实际上对所有Z-Wave设备都有效。

Z-Wave如今是 S2版本，之前的S0版本在2013年被发现漏洞后，改进到了现在的版本。而现在研究人员发现，可以通过将连接方式降维到S0版本进行攻击。暂时的攻击只能在连接建立的时候进行，而研究者也在尝试能否让已连接设备断开服务。

事实上，这种降维攻击去年就被安全咨询公司SensePost爆出，而供应商则表示这个隐患是设计必须的，因为这个协议需要向下兼容。另外，Silicon Labs向使用者保证该风险低危，并且暂时现实中的漏洞利用的可能性很小，场景很局限。