5 月 29 日,360安全卫士在其官方微博发布消息称,360 公司 Vulcan(伏尔甘)团队发现区块链平台 EOS 的一系列高危安全漏洞,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。
EOS 主网预计将于 6 月 2 日正式上线,超级节点之争已趋于白热化。值此紧要关头,360 旗下安全团队爆出 EOS 存在巨大安全漏洞,甚或令用户蒙受财务损失,骤然引发巨大关注。二级市场方面,EOS 更是一度瀑布式下跌幅度高达 9%。
对此360公司创始人、董事长兼CEO周鸿祎 5 月 30 日在节目“汪峰十问”中讲述了 Vulcan 团队发现 EOS 高危漏洞的台前幕后,以及如何与 EOS 团队沟通协助其完善代码。还分享了自己的“区块链往事”,何时接触区块链,360公司及周鸿祎本人后继在区块链领域的介入策略和下一步动作。
回应爆料 EOS 漏洞
“其实也没有谋多久,从年前开始,我自己也在努力学习区块链的东西。我在三点钟群里没怎么表达看法,是因为确实还没怎么看懂一些东西。但在安全上我们是专家,所以在 17 年年底 18 年年初,实际上我们就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。”
不会有比这个更严重的漏洞
周鸿祎表示对于区块链网络来说,不会有比这个更严重的漏洞。“如果漏洞被人利用,可以控制 EOS 网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。”
“再说'史诗级',EOS 在区块链发展史上的重要性大家肯定知道,如果说,这个漏洞我们没有提出来,EOS 没有修复,等到 EOS 主网上线了,被恶意的黑客发现并利用了,那时候 EOS 会不会一夜之间就被搞掉了,我们都不好说。EOS 现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。
另外就是这个其实是我们安全圈内部的说法,是半个舶来语。'史诗级'是从'Epic'翻译过来的,国外安全社区经常用'Epic bug'或者'Epic fail'来形容比较重大的安全漏洞。”
安全漏洞都是先沟通再披露
“对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。
因为如果 EOS 没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。”
我们没有恶意做空
从披露的时间点来看就能知道他们肯定不是在做空。“假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。”
发现EOS漏洞之后,团队在完成对这个大漏洞利用研究测试后就立刻联系了EOS创始人BM,“希望帮助EOS开发团队先解决这个漏洞,保证漏洞不会攻击者利用,在他们修复完成之后,才披露的。”
BM 的回应有点让人混乱
回应 EOS 安全漏洞问题,分别从3点进行解释:1)他提到的这个root权限,root权限是指计算机系统里面的最高权限;2)是否获得root权限,不影响攻击者控制EOS节点,没有root权限也是一样的。3)如果用户使用root权限运行eos,那么攻击者就可以获取root权限。
周鸿祎还表示:“BM 的回应有点让人混乱,看起来以为是,我们报告前,他们已经修复了,其实是我们遵循了负责任的行业标准流程,报告->修复->公开。”
“非常明确地说,我们先私下联系了 BM,通知了他们 EOS 漏洞,希望他们先修。这都是有聊天记录截屏的,等到 EOS 修复了,我们再对外发布这个漏洞公告。”
EOS Dawn 4.0 主网应该延迟上线
周鸿祎认为 EOS Dawn 4.0 公网版本应该延迟上线。“我认为应该延迟上线的,我们的安全团队还在发现一些 EOS 的漏洞,我们也会第一时间及时的提交给他们,我们建议修复之后再上线。”
和 EOS 目前没有直接合作
对于坊间传出的“360 和 EOS 很快有合作要公布”的消息,周鸿祎表示,和 EOS 方面目前没有直接合作。“像 EOS 这些主要的公链,我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴,就 EOS 生态建设、安全防护、主节点的竞争等方面进行交流讨论。”
区块链真正的安全问题还没暴露
区块链领域里面真正的安全问题其实还没出来。他认为,网络安全的影响已经从最初简单的信息安全,演变到现在,从线上到线下,都会受到网络攻击的威胁,并且新威胁越来越多。“区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。”
360 涉足区块链业务“肯定还是围绕安全”,“EOS 这个漏洞,不是最后一个,也一定不是最厉害的一个”。“在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的,”周鸿祎说道。
“区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面,”周鸿祎说道,“我们一定要记住,有一句话叫‘没有攻不破的网络’,只有没被发现的漏洞,或者被发现没公开的,不存在没有漏洞的网络,”周鸿祎继续说道。
未来会基于区块链安全生态推出三个系统
未来 360 会基于区块链安全生态推出三系统,分别是:
1、数字货币钱包安全审计系统,2、区块链安全态势感知系统,3、区块链节点安全解决方案。
安全业务的边界不能框死
网络安全已然不是最初的信息安全,而是从个人安全,到社会的公共安全,再到国家的信息基础设施安全、政治安全、军事安全……“所以我觉得不能把安全业务的边界框死了,网络安全行业,有越来越多的安全问题会出现。”
我不服输但不是说非要进军区块链
周鸿祎表示,PC 时代 360 获得的关注比较多,移动时代关注度虽然有所降低,但搞安全也需要耐得住寂寞。
“我不服输,但不是说非要进军区块链什么的,而是说,在大安全这个新时代里面,希望能够继续发挥360安全守护者这个作用。区块链应用以后有可能深入生活、生产的多个方面,360作为国内最大的安全公司,当然希望充当一个“守护者”的角色,为区块链应用保驾护航。”
閱讀更多 鏈曉得 的文章
