近日,360安全卫士发布微博,称360发现区块链史诗级漏洞,可完全控制虚拟货币。

该高危漏洞由360公司Vulcan(伏尔甘)团队发现。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

周鸿祎转发改微博后,提醒该区块链价值超过百亿美金,如果被非法利用,可远程攻击控制和接管EOS上运行的所有节点,严重情况下,还会导致EOS,甚至整个虚拟货币市场遭遇滑铁卢。

区块链遭遇安全问题,并非首次。早年最大的比特币交易市场Mt.Gox(国内币圈戏称:门头沟),因安全问题,导致客户的75万比特币和自身保有的10万比特币丢失,当时这些比特币价值4.8亿美元,按照7000美元的最新单价粗略估计,这批比特币现在价值接近60亿美元。

有专家分析,2017年比特币暴涨,也和当时流行的勒索病毒,不无关系,近百个国家和地区的数万台电脑遭到攻击。黑客将电脑中的资料文档上锁,并要求支付300美金等价的比特币才能解锁文件。突然的需求导致2017年,比特币迅速飙升到2万美元的高点,目前已经回落到7000美元单价。

360爆出漏洞后,在资本市场和币圈出现两个截然不同的结果:一个A股市场,360股价应声上涨;同时币圈多种虚拟货币闻声下跌。与此同时,多家区块链和币安、欧链、老猫、和Dbank项目纷纷与360达成合作,一时间360在链圈炙手可热。

360爆出漏洞,也在币圈和链圈引发不少争议,阴谋论,蹭热点,众说纷纭。5月30日,周鸿祎做客王峰十问,针对区块链安全问题做了逐一解答。

EOS漏洞是先提交周知,后曝光

(周鸿祎视频截图和网友力挺360的截图)

360公布漏洞的时间点,正是国内多家区块链企业竞选EOS的关键时间点,EOS在国内有众多疯狂支持者,有人质疑在此时间点公布漏洞,有联合机构做空EOS的嫌疑。周鸿祎回应,这次披露漏洞只是360作为安全厂商的指责所在,不存在蓄谋已久和阴谋论。

在公布漏洞当日,EOS创始人BM在电报群里回复称,360报告的漏洞,早已被EOS修复,而且早于360发布报告的时间,BM的回应暗指360制造恐慌,并生产任何挑起市场恐慌的行为,将取消其奖励资格,让链圈人事,这是360精心策划的炒作。

周鸿祎在王峰十问上回应,报告漏洞是安全厂商的惯例,“微软、谷歌、苹果都一样”报告漏洞。对于公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。

“如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。”安全漏洞披露的先修复后报告流程,从某种程度看是为了保护被披露漏洞的企业。

周鸿祎还透露,“对方不修复,我们不会公告”也是安全圈的行业通行做法。 对于EOS漏洞,360方面一直在BM单独沟通,他在Telegram上的留言的截图是昨天晚上的,在留言之后,很快回复说,漏洞是真实存在有效的 但是就被截掉了。周鸿祎认为其中有些“断章取义”。

挖出EOS漏洞的攻防团队已经很有名气

此次发布EOS漏洞事件,让Vulcan(伏尔甘)团队一战成名,但周鸿祎透露Vulcan团队早在安全圈子里小有名气。

Vulcan(伏尔甘)是360安全卫士的攻防研究团队,最初是为了参加Pwn2Own黑客大赛,建了一个小组。这个团队在攻防研究、挖掘厂商漏洞和帮助厂商修复漏洞上实力相当强悍。

2015年Vulcan组队去参加Pwn2Own 2015,当时用了17秒攻破了微软的IE11,是历史上首支成功攻破IE的亚洲团队,并因此获奖。Pwn2own 黑客大赛上,Vulcan团队连续多年斩获了十几项冠军,在Pwn2own2017上更是拿到了世界总冠军。

360在移动安全领域报告的漏洞,更是受到谷歌多次致谢。在谷歌发表了2017年漏洞奖励计划总结报告中,360Alpha团队报告的“穿云箭”组合漏洞,拿到了安卓漏洞奖励计划(ASR)三年来给出的史上最高奖励——11.25万美元,并获得了谷歌公司的郑重感谢。

区块链安全两种情况最可怕:知而不改,知而不曝

区块链安全问题日益严重,除了比特币,以太坊也发生了几次严重的安全事件:2016年6月17日,当时最大的众筹项目TheDAO遭到攻击,导致300多万以太币资产被分离出资产池;2017年7月21日,智能合约编码公司Parity确认有 15万以太币被盗。

但在周鸿祎认为,真正的安全问题还没有出来,而360公司披露的EOS漏洞,希望大家能够重视区块链安全问题。“安全问题不是说这次我们披露了,大家热闹一天就完了。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。”

周鸿祎看来,有两种情况最可怕:“一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。“

周鸿祎:搞安全的人,更像一个看门人

周鸿祎坦言,搞安全的人更像是一个“看门人”,时刻都要保持一颗怀疑之心、守护之心。“对于新生事物,不管是新兴技术还是什么,看到美好一面的同时,作为搞安全的,我会不自觉的看到他们潜在的安全风险”。

360在5月中旬发布了“区块链安全态势感知系统”,同时针对钱包、交易所、矿池和智能合约四大块推出了“区块链生态安全解决方案”。周鸿祎介绍,未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

对于安全的边界,周鸿祎则认为:“企业也不应该是框死在一个事情上的,我们核心是安全基因,基于此,我们的边界是一个有限的无限边界。”

(雄心财经——聚焦区块链、数字货币、科技股投资、上市公司点评、跨境资产配置等新财经趋势。每日一篇深度原创,用真正的互联网思维解读财经大事件。你不理财,财不理你。我们努力让您成为理财的明白人。)

相关文章