• 周鴻祎
• EOS
• 區(qū)塊鏈

驅(qū)動中國2018年5月30日消息  近日，360公司Vulcan（伏爾甘）團隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞，并于29日披露已該類漏洞上報EOS官方，并協(xié)助其修復(fù)安全隱患。至此，EOS安全漏洞成區(qū)塊鏈行業(yè)最大的安全話題。但對于這一漏洞，EOS創(chuàng)始人BM于今日凌晨在電報群中回應(yīng)360披露的EOS安全漏洞問題，稱360報告中提到的漏洞早已被EOS修復(fù)，且早于360發(fā)布報告的時間。BM的回應(yīng)，暗指360制造恐慌？

今天，火星財經(jīng)發(fā)起人王峰開展 “王峰十問周鴻祎”，看紅衣教主周鴻祎如何為我們揭開其間的真相？

對于360披露EOS漏洞一事，周鴻祎進行了說明。最近EOS準(zhǔn)備上線，在區(qū)塊鏈行業(yè)里非常具有代表性，我們這次發(fā)現(xiàn)EOS漏洞，提交給對方，希望督促他們修補系統(tǒng)，所以我們披露漏洞，是我們安全公司的職責(zé)所在。對于本次漏洞披露，我們沒有立場，是中立，我們提出任何一個系統(tǒng)的漏洞，都是為了幫助這個系統(tǒng)改善安全性。

周鴻祎表示，非常明確地說，我們先私下聯(lián)系了BM，通知了他們eos漏洞，希望他們先修復(fù)，這都是有聊天記錄截屏的，等到eos修復(fù)了，我們再對外發(fā)布這個漏洞公告。我們安全廠商對外公開披露的漏洞，一定是先和對方溝通，提交給對方去修復(fù)，在得到他們修復(fù)的確認之后，然后我們再公開。因為如果EOS沒有修復(fù)，我們公布出來了，肯定會有一大波黑客立馬上去搞他們，所以我們發(fā)布報告的時間當(dāng)然會是晚于修復(fù)時間的。

對于披露漏洞規(guī)則，周鴻祎表示，這個不僅僅是對EOS，對微軟谷歌蘋果都是一樣的，對于安全漏洞披露，通常的步奏就是，首先是挖掘漏洞，挖出來之后就會研究，會怎么被黑客們利用，把這些研究透了，再向相關(guān)的廠商匯報，比如這次EOS的，就是把怎么利用的視頻還有涉及的詳細代碼報告給了對方，再然后就是對方修復(fù)，等對方確認修復(fù)之后，我們才會對外公布。

而之所以將此次漏洞成為“史詩級”，是由于EOS在區(qū)塊鏈發(fā)展史上的重要性。倘若這個漏洞沒有提出來，EOS沒有修復(fù)，等到EOS主網(wǎng)上線了，被惡意的黑客發(fā)現(xiàn)并利用了，后果不堪設(shè)想。EOS現(xiàn)在估值至少百億美金了，所以我覺得這個漏洞價值百億美金并不夸張，“史詩級”是來形容比較重大的安全漏洞。

周鴻祎坦誠，其實早在2017年年底到2018年年初，360就已經(jīng)在關(guān)注區(qū)塊鏈安全，開始研究區(qū)塊鏈技術(shù)和相關(guān)的安全問題。360以開放的心態(tài)面對區(qū)塊鏈行業(yè)的安全問題，后續(xù)還將會繼續(xù)深入研究區(qū)塊鏈安全問題，為區(qū)塊鏈行業(yè)提供更安全的解決方案。

談及當(dāng)下的區(qū)塊鏈、數(shù)字貨幣的安全性時，周鴻祎表示，盡管很多區(qū)塊鏈、數(shù)字貨幣的設(shè)計都標(biāo)榜非常安全，但任何軟件系統(tǒng)，只要非常復(fù)雜，這種復(fù)雜度，都會帶來bug和漏洞，bug和漏洞被人利用，就會帶來風(fēng)險，就會有安全問題， 區(qū)塊鏈技術(shù)也一樣。

然而，此次EOS回應(yīng)稱360制造恐慌，360堅稱嚴格遵守披露規(guī)則，EOS這又意在何為呢？而360未來將在區(qū)塊鏈行業(yè)安全方面將會有那些大的動作，我們將持續(xù)關(guān)注。