• 周鴻祎
• EOS
• 區(qū)塊鏈

驅(qū)動(dòng)中國2018年5月30日消息  近日，360公司Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了區(qū)塊鏈平臺(tái)EOS的一系列高危安全漏洞，并于29日披露已該類漏洞上報(bào)EOS官方，并協(xié)助其修復(fù)安全隱患。至此，EOS安全漏洞成區(qū)塊鏈行業(yè)最大的安全話題。但對(duì)于這一漏洞，EOS創(chuàng)始人BM于今日凌晨在電報(bào)群中回應(yīng)360披露的EOS安全漏洞問題，稱360報(bào)告中提到的漏洞早已被EOS修復(fù)，且早于360發(fā)布報(bào)告的時(shí)間。BM的回應(yīng)，暗指360制造恐慌？

今天，火星財(cái)經(jīng)發(fā)起人王峰開展 “王峰十問周鴻祎”，看紅衣教主周鴻祎如何為我們揭開其間的真相？

對(duì)于360披露EOS漏洞一事，周鴻祎進(jìn)行了說明。最近EOS準(zhǔn)備上線，在區(qū)塊鏈行業(yè)里非常具有代表性，我們這次發(fā)現(xiàn)EOS漏洞，提交給對(duì)方，希望督促他們修補(bǔ)系統(tǒng)，所以我們披露漏洞，是我們安全公司的職責(zé)所在。對(duì)于本次漏洞披露，我們沒有立場，是中立，我們提出任何一個(gè)系統(tǒng)的漏洞，都是為了幫助這個(gè)系統(tǒng)改善安全性。

周鴻祎表示，非常明確地說，我們先私下聯(lián)系了BM，通知了他們eos漏洞，希望他們先修復(fù)，這都是有聊天記錄截屏的，等到eos修復(fù)了，我們?cè)賹?duì)外發(fā)布這個(gè)漏洞公告。我們安全廠商對(duì)外公開披露的漏洞，一定是先和對(duì)方溝通，提交給對(duì)方去修復(fù)，在得到他們修復(fù)的確認(rèn)之后，然后我們?cè)俟_。因?yàn)槿绻鸈OS沒有修復(fù)，我們公布出來了，肯定會(huì)有一大波黑客立馬上去搞他們，所以我們發(fā)布報(bào)告的時(shí)間當(dāng)然會(huì)是晚于修復(fù)時(shí)間的。

對(duì)于披露漏洞規(guī)則，周鴻祎表示，這個(gè)不僅僅是對(duì)EOS，對(duì)微軟谷歌蘋果都是一樣的，對(duì)于安全漏洞披露，通常的步奏就是，首先是挖掘漏洞，挖出來之后就會(huì)研究，會(huì)怎么被黑客們利用，把這些研究透了，再向相關(guān)的廠商匯報(bào)，比如這次EOS的，就是把怎么利用的視頻還有涉及的詳細(xì)代碼報(bào)告給了對(duì)方，再然后就是對(duì)方修復(fù)，等對(duì)方確認(rèn)修復(fù)之后，我們才會(huì)對(duì)外公布。

而之所以將此次漏洞成為“史詩級(jí)”，是由于EOS在區(qū)塊鏈發(fā)展史上的重要性。倘若這個(gè)漏洞沒有提出來，EOS沒有修復(fù)，等到EOS主網(wǎng)上線了，被惡意的黑客發(fā)現(xiàn)并利用了，后果不堪設(shè)想。EOS現(xiàn)在估值至少百億美金了，所以我覺得這個(gè)漏洞價(jià)值百億美金并不夸張，“史詩級(jí)”是來形容比較重大的安全漏洞。

周鴻祎坦誠，其實(shí)早在2017年年底到2018年年初，360就已經(jīng)在關(guān)注區(qū)塊鏈安全，開始研究區(qū)塊鏈技術(shù)和相關(guān)的安全問題。360以開放的心態(tài)面對(duì)區(qū)塊鏈行業(yè)的安全問題，后續(xù)還將會(huì)繼續(xù)深入研究區(qū)塊鏈安全問題，為區(qū)塊鏈行業(yè)提供更安全的解決方案。

談及當(dāng)下的區(qū)塊鏈、數(shù)字貨幣的安全性時(shí)，周鴻祎表示，盡管很多區(qū)塊鏈、數(shù)字貨幣的設(shè)計(jì)都標(biāo)榜非常安全，但任何軟件系統(tǒng)，只要非常復(fù)雜，這種復(fù)雜度，都會(huì)帶來bug和漏洞，bug和漏洞被人利用，就會(huì)帶來風(fēng)險(xiǎn)，就會(huì)有安全問題， 區(qū)塊鏈技術(shù)也一樣。

然而，此次EOS回應(yīng)稱360制造恐慌，360堅(jiān)稱嚴(yán)格遵守披露規(guī)則，EOS這又意在何為呢？而360未來將在區(qū)塊鏈行業(yè)安全方面將會(huì)有那些大的動(dòng)作，我們將持續(xù)關(guān)注。