昨日,360公司宣佈發現EOS區塊鏈高危安全漏洞一石激起千層浪,消息一經傳出,EOS代幣價格瞬間暴跌。對於360的報告,輿論對此褒貶不一,既有支持360幫助完善EOS區塊鏈建設的聲音,也有認為其中存在某種陰謀的聲音。
今日下午,360集團創始人兼CEO周鴻禕參加“王峰十問”,講述了此次事件背後的故事。
沒有蓄謀已久,也沒有大招
在外界看來,360公司發佈EOS漏洞的事情非常突然,因為此前360並沒有任何預兆要踏足區塊鏈安全領域。在公佈EOS漏洞後,360公司又迅速宣佈與多家區塊鏈企業達成合作,這種種行為,似乎顯示出360公司覬覦區塊鏈領域已久。
對此,周鴻禕表示,360公司在2017年底便開始關注和研究區塊鏈安全,自己也在努力學習區塊鏈知識。“最近EOS準備上線,在區塊鏈行業裡非常具有代表性,我們這次發現EOS漏洞,提交給對方,希望督促他們修補系統,所以我們披露漏洞,是我們安全公司的職責所在。”
至於與多家區塊鏈企業達成合作,周鴻禕表示是很多區塊鏈企業“主動來找”:“我們和業內很多項目也都有過接觸溝通和交流的,我們的心態還是比較開放的,我們也希望大家都能夠關注安全問題,所以當大家主動來找我們,希望在區塊鏈安全方面有些深入溝通交流,我們也非常願意為區塊鏈行業提供更安全的解決方案。”周鴻禕強調,360公司並沒有任何立場,也沒有和EOS存在直接合作。
對於坊間的“陰謀論”“製造恐慌論”,周鴻禕表示:“沒有大家想象的什麼蓄謀已久,也沒有什麼大招,我們的大招就是踏踏實實幫助區塊鏈行業排除風險……至於製造恐慌,如果說我們要製造恐慌,直接在主網上線時放出這個,恐慌效果一定比現在要好的多。”
周鴻禕表示,360此次曝出EOS安全漏洞,完全遵循了安全行業標準的漏洞通報機制。“大家從我們披露漏洞的時間其實應該就能知道我們肯定不是在做空。 假如我真想惡意做空的話,完全可以捂著,等EOS主網上線,直接爆出來。”
360先提交漏洞,EOS後修復漏洞
對此,周鴻禕回應稱,上述BM言論屬於斷章取義,實際上BM在電報群發出上述言論後,很快便回覆說漏洞是真實存在的。
周鴻禕表示,安全廠商對外公開披露的漏洞,一定是先和對方溝通,提交給對方去修復,在得到他們修復的確認之後,然後再公開。“因為如果EOS沒有修復,我們公佈出來了,肯定會有一大波黑客立馬上去搞他們,所以我們發佈報告的時間當然會是晚於修復時間的。”
“BM的回應有點讓人混亂,看起來以為是,我們報告前,他們已經修復了,其實是我們遵循了負責任的行業標準流程,報告->修復->公開。”據周鴻禕透露,360公司最早在5月28號便主動聯繫了EOS方面,將黑客會如何利用漏洞的視頻及詳細代碼進行了報告,EOS官方修復並確認後,360才在昨天公佈了漏洞。
EOS安全漏洞被曝光後,很多人擔心EOS主網上線將推遲。對此,周鴻禕也認為,EOS主網應該延遲上線,“我們的安全團隊還在發現一些EOS的漏洞,我們也會第一時間及時的提交給他們,我們建議修復之後再上線。”
區塊鏈領域真正問題還沒出來
周鴻禕認為,區塊鏈領域裡面真正的安全問題其實還沒出來,“在網絡安全行業裡,有兩種情況是最可怕的,一種是做沙漠裡的鴕鳥,知道不改,還有一種是知道了不爆出來,最後被人利用,這兩個才是最可怕的……我希望大家記住,EOS這個漏洞,不是最後一個,也一定不是最厲害的一個。”
從黑客攻擊者的角度來說,一個系統或者應用有很多的攻擊面,黑客會通過各種途徑和方式嘗試突破,軟件設計和實現的缺陷是其中一個也是最直接的攻擊面。周鴻禕表示,360公司最近已經發現了很多區塊鏈系統、交易所繫統、錢包系統存在問題。
“從360安全團隊發現的安全威脅來看,在區塊鏈新領域的確還存在很多安全威脅,我們會逐步在這方面拓寬關注和研究的方向。”周鴻禕稱,360公司會基於區塊鏈安全生態推出三個系統,主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。
閱讀更多 鏈訊探長 的文章
