昨日,360公司宣布发现EOS区块链高危安全漏洞一石激起千层浪,消息一经传出,EOS代币价格瞬间暴跌。对于360的报告,舆论对此褒贬不一,既有支持360帮助完善EOS区块链建设的声音,也有认为其中存在某种阴谋的声音。
今日下午,360集团创始人兼CEO周鸿祎参加“王峰十问”,讲述了此次事件背后的故事。
没有蓄谋已久,也没有大招
在外界看来,360公司发布EOS漏洞的事情非常突然,因为此前360并没有任何预兆要踏足区块链安全领域。在公布EOS漏洞后,360公司又迅速宣布与多家区块链企业达成合作,这种种行为,似乎显示出360公司觊觎区块链领域已久。
对此,周鸿祎表示,360公司在2017年底便开始关注和研究区块链安全,自己也在努力学习区块链知识。“最近EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。”
至于与多家区块链企业达成合作,周鸿祎表示是很多区块链企业“主动来找”:“我们和业内很多项目也都有过接触沟通和交流的,我们的心态还是比较开放的,我们也希望大家都能够关注安全问题,所以当大家主动来找我们,希望在区块链安全方面有些深入沟通交流,我们也非常愿意为区块链行业提供更安全的解决方案。”周鸿祎强调,360公司并没有任何立场,也没有和EOS存在直接合作。
对于坊间的“阴谋论”“制造恐慌论”,周鸿祎表示:“没有大家想象的什么蓄谋已久,也没有什么大招,我们的大招就是踏踏实实帮助区块链行业排除风险……至于制造恐慌,如果说我们要制造恐慌,直接在主网上线时放出这个,恐慌效果一定比现在要好的多。”
周鸿祎表示,360此次曝出EOS安全漏洞,完全遵循了安全行业标准的漏洞通报机制。“大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。 假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。”
360先提交漏洞,EOS后修复漏洞
对此,周鸿祎回应称,上述BM言论属于断章取义,实际上BM在电报群发出上述言论后,很快便回复说漏洞是真实存在的。
周鸿祎表示,安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后再公开。“因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。”
“BM的回应有点让人混乱,看起来以为是,我们报告前,他们已经修复了,其实是我们遵循了负责任的行业标准流程,报告->修复->公开。”据周鸿祎透露,360公司最早在5月28号便主动联系了EOS方面,将黑客会如何利用漏洞的视频及详细代码进行了报告,EOS官方修复并确认后,360才在昨天公布了漏洞。
EOS安全漏洞被曝光后,很多人担心EOS主网上线将推迟。对此,周鸿祎也认为,EOS主网应该延迟上线,“我们的安全团队还在发现一些EOS的漏洞,我们也会第一时间及时的提交给他们,我们建议修复之后再上线。”
区块链领域真正问题还没出来
周鸿祎认为,区块链领域里面真正的安全问题其实还没出来,“在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的……我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。”
从黑客攻击者的角度来说,一个系统或者应用有很多的攻击面,黑客会通过各种途径和方式尝试突破,软件设计和实现的缺陷是其中一个也是最直接的攻击面。周鸿祎表示,360公司最近已经发现了很多区块链系统、交易所系统、钱包系统存在问题。
“从360安全团队发现的安全威胁来看,在区块链新领域的确还存在很多安全威胁,我们会逐步在这方面拓宽关注和研究的方向。”周鸿祎称,360公司会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。
閱讀更多 鏈訊探長 的文章
