5月29日,360发布一份涉及EOS的高危安全漏洞报告,称其为“区块链史诗级漏洞”,可完全控制虚拟货币交易。周鸿祎发微博称,这个漏洞价值超过“百亿美金”,如果被非法利用,严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。

  报告发布后,全球市值排名第五的数字货币EOS币价一天下跌约10%,后又拉升。

  

  周鸿祎微博截图

  这个漏洞真的影响面这么广?我们先来了解三个问题。

  什么是EOS?

  EOS是被称为“区块链3.0”的新型区块链平台,旨在为高性能分布式应用提供底层区块链平台服务。其目标是实现一个类似操作系统的支撑分布式应用程序的区块链架构。

  如果做个类比,EOS就像Windows操作系统,只不过这个操作系统支持的是分布式应用程序(DAPP),并可以同时支持几千个分布式应用程序(DAPP)在平台运行。

  EOS的架构可以提供账户、身份认证、数据库、异步通信以及可在数以万计的 CPU/GPU群集上进行程序调度和并行运算。EOS最终可以支持每秒执行数百万个交易,同时普通用户执行智能合约无需支付使用费用。目前其代币EOS的市值高达690亿人民币,在全球市值排名第五。

  漏洞是怎么回事?

  根据360的报告,该漏洞是一个缓冲区越界写入漏洞,属于EOS底层的恶意智能合约类的程序漏洞。通过这个漏洞,攻击者可以把一个恶意智能合约上传到节点服务器,之后节点服务器就会解析这个恶意合约,然后恶意合约就会在服务器上被执行,再控制该节点服务器。

  控制了节点服务器之后,攻击者攻击者可以窃取超级节点的私钥,将恶意合约打包到新的区块中,继而进一步控制EOS网络内的所有节点。

  漏洞怎么发现的?

  29日下午360首席安全工程师郑文彬称,早在今年5月11日就发现EOS存在远程代码执行的漏洞。5月28日下午1时,360方面完成了利用漏洞控制整个EOS网络的演示,验证了这一漏洞的可操作性。28日深夜,360将漏洞细节同步到EOS项目方。5月29日供应商修复了开源软件项目托管平台GitHub上的漏洞,并解决了问题。

  今天,中国创客导师、360公司创始人、董事长兼CEO周鸿祎在“3点钟火星财经创始学习群”与蓝港互动创始人、火星财经发起人王峰发起对话,详细讲述了360披露EOS严重安全漏洞的经过,以及他对区块链安全问题的看法。

  

周鸿祎 / 视觉中国

  “这个漏洞价值百亿美金并不夸张”

  问:5月29日360爆料EOS严重安全漏洞,随后360在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作,这是为什么?

  周鸿祎:在安全上我们是专家,所以在去年底今年初我们开始关注区块链安全。尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度都会带来bug和漏洞,一旦被人利用就会带来风险,有安全问题。

  之前大家都在关注区块链带来的商业机会,但是很少有人关注区块链安全问题。我们最近发现了很多区块链系统、交易所系统、钱包系统存在安全问题。EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统。

  很多人和我们合作,说明大家开始重视安全。

  我们很开放,没有任何立场,我们愿意帮助所有玩家保护用户安全,希望把区块链行业的安全生态发展起来。

  问:在360公布#3498 EOS漏洞之前,EOS的bug已经在Github上提交了3497条,但鲜有人关注其影响。你如何看待昨天披露安全漏洞的严重程度?为什么360安全卫士在微博上将之称为“史诗级”漏洞?

  周鸿祎:如果漏洞被人利用,可以控制EOS网络里面每一个节点、每一个服务器,那不仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。一旦拿到服务器权限,就可以为所欲为。

  如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。

  对区块链网络来说,这个漏洞的严重性可想而知。

  再说“史诗级”。EOS在区块链发展史上的重要性大家肯定知道,如果我们没有提出这个漏洞,EOS没有修复,等到EOS主网上线,漏洞被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉,我们都不好说。

  EOS现在的估值至少百亿美金,所以我觉得这个漏洞价值百亿美金并不夸张。

  另外“史诗级”是安全圈内部的说法,从“Epic”翻译过来,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

  问:30日凌晨EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间,且漏洞并不能改写可执行内存。暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此,你怎么看?

  周鸿祎:我们安全团队最早在5月28日直接跟BM团队联系沟通的,非常明确地说,我们先私下联系了BM,通知了他们EOS漏洞,希望他们先修复,这都是有聊天记录截屏的,修复完我们再对外发布这个漏洞公告。

  我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。

  因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去攻击,所以我们发布报告的时间当然会晚于修复时间。

  这对微软、谷歌、苹果等的所有安全漏洞都一样,我们首先挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用;把这些研究透了,再向相关厂商汇报,比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方;再然等对方确认修复之后,我们才会对外公布。

  我们提交的漏洞,EOS官方是确认真实有效的,并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情。而且,今天早上在和BM沟通时,他们依然是非常认同我们的成果和技术实力的。

  周鸿祎 / 视觉中国

  “区块链领域真正的安全问题还没出来”

  问:此次发布EOS漏洞事件让Vulcan(伏尔甘)团队一战成名,能否具体介绍下他们?坊间说,你们和EOS很快有合作要公布,你方便透露吗?

  周鸿祎:360 Vulcan团队最早是我们360安全卫士的攻防研究团队,有一年他们要参加Pwn2Own,一个比较厉害的世界黑客大赛,所以他们组了一个小组,就是Vulcan团队。

  我们和EOS方面目前没有直接合作的,区块链安全是我们一直关注的问题,此外360也是互联网科技企业,像EOS这些主要的公链,我们在技术研究方面一直有投入。从今年初开始就已经与一些合作伙伴,就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。

  问:坊间有传闻,昨天360曝光安全漏洞引发了各种猜测和起哄,称360联合某些组织在做空EOS,你怎么看?

  周鸿祎:大家从我们披露漏洞的时间,其实应该就能知道我们肯定不是在做空。

  假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。

  我们现在的做法是安全行业标准的漏洞通报机制,先和EOS团队联系,提交漏洞详情,然后等他们修复完成了,我们才对外公布,这是非常负责任的做法。我们是希望EOS乃至整个区块链行业发展的更好。

  问:除了EOS之外,我注意到以太坊也有过几次严重的安全事件,对于其他区块链项目而言,也需额外警惕安全风险。你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?

  周鸿祎:我认为区块链领域真正的安全问题还没出来。

  通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。

  网络安全行业两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改;还有一种是知道了不爆出来,最后被人利用。

  我最近在提一个概念,叫“大安全”。简单说,就是网络安全的影响已经从最初简单的信息安全演变到现在从线上到线下都会受到网络攻击的威胁,并且新威胁越来越多。区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。

  这种情况下,光靠某个企业自身的安全防护能力肯定是有限的,反过来光靠360这样一家安全公司也不行,所以应该是整个安全行业需要得到发展。此外还可以做一些漏洞奖励计划,让整个安全社区都来帮助解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题,他们都有自己的漏洞奖励计划,对提交漏洞的团队给予奖励。

  问:如果360进入区块链行业,360的机会在哪里?

  周鸿祎:我们现在看区块链、涉足区块链,肯定还是围绕安全。未来区块链行业一定会出现更多的安全问题,之前传统互联网领域里面遇到的安全问题,区块链行业里面一定也会遇到。

  这就是我们的机会,当然我们也有自信和实力在其中担起责任,保护区块链行业健康稳定安全发展。

  问:能否介绍下360在区块链安全方面的布局和方案,比如交易所安全怎么做?矿池安全怎么做?智能合约安全方面又怎么做?

  周鸿祎:我们未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

  在数字货币钱包安全审计系统,会详细地列一些审计的要点,阐述如何做一款比较安全的数字钱包,从而保障用户的财产安全;

  区块链安全态势感知系统是基于360安全大脑的系统,可以自动对异常区块、异常交易、异常地址和智能合约进行监控,不仅可以将交易风险降到最低,而且还可对非法数字货币进行溯源;区块链节点安全解决方案,目前主要会针对EOS。

  

  360对外发布的区块链安全态势感知系统

  “代码是人写的,肯定会有漏洞”

  问:360定义的安全业务的边界有多大?

  周鸿祎:我们关注人工智能或者区块链的安全,都有一个共同点,都是要写代码实现的。而代码是人写的,肯定会有漏洞。

  对于新生事物,看到美好一面的同时,我会不自觉的看到他们潜在的安全风险。搞安全的人更像是一个“看门人”,时刻都要保持一颗怀疑之心、守护之心。

  关于边界这个事情,我们现在在进入一个大安全时代,我觉得不能把安全业务的边界框死了,网络安全行业,有越来越多的安全问题会出现,这对于360来说,是我们面临的挑战,但也是我们的机遇。

  作为一个创业者的角度看,或者从企业运营者的角度看,企业也不应该是框死在一个事情上的,我们核心是安全基因,基于此,我们的边界是一个有限的无限边界。

  问:与PC互联网时代占尽先发优势不同,移动互联网时代360优势并不明显,这会不会让你感觉到失落?你是一个不服输的人,这会不会是360有一天大举进军区块链的动力?

  周鸿祎:安全行业,说刺激也很刺激,不管是去年5月的勒索病毒,还是昨天的EOS漏洞,一下子就让全行业都关注到你了。

  与此同时,安全也是一件需要耐得住寂寞、需要长久投入努力的事情。

  这些年,我们在原创核心技术上积累非常多,比如360安全大脑的网络安全空间大数据是目前全球规模最大的。也因为有这些大数据和数据中心,360安全大脑的态势感知、智能查杀、攻防与溯源,包括应急响应上,现在在全球都非常具备竞争力。

  我不服输,不是说非要进军区块链,而是在大安全这个新时代里希望能够继续发挥360安全守护者的作用。区块链应用以后有可能深入生活、生产的多个方面,360当然希望充当一个“守护者”的角色,为区块链应用保驾护航。