趋势网(微博|微信)讯:360上周首次发布针对区块链领域的安全解决方案,近日360公司宣布,其团队发现区块链平台EOS多项高危安全漏洞,利用漏洞可以在EOS节点上远程执行任意代码,可以通过远程攻击,直接控制和接管EOS上运行的所有节点。周鸿祎表示除了EOS此次重大的漏洞外,其实也发现了门罗和以太坊的漏洞,不过安全问题较小,比较容易解决。并称EOS这一漏洞价值超过“百亿美金”。
EOS漏洞事件也让整个市场恐慌情绪严重,EOS价格迅速暴跌。为此,火星财经发起人王峰对话周鸿祎,分享发现漏洞背后的故事。
周鸿祎坦诚至今也不懂区块链
周鸿祎称,最近EOS准备上线,在区块链行业里非常具有代表性,360这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。我至今也不觉得自己懂区块链,我个人也没有买虚拟货 币,看着大家在这些群里热烈的讨论,每个人都忧国忧民,每个人都像经济学家、哲学家、思想家一样的发出各种见解,我真的觉得自己像个白痴一样听不太懂。
漏洞价值百亿美金不夸张
王峰问道:为什么称之为史诗级漏洞?这个漏洞价值百亿美元?
周鸿祎解释说,如果这个漏洞我们没有提出来,EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉了,我们都不好说。所以,EOS现在的估值至少百亿美金了,我觉得这个漏洞价值百亿美金并不夸张。此外,“史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。
周鸿祎坦言,从公关的角度来看,史诗级这个词大家理解不一样,太文艺青年了,所以说成百亿美金的漏洞,大家会不会觉得更接地气一点。因为很多标题党都被滥用了,所以用了个史诗级,其实说百亿美金级别最好了。
EOS称360制造恐慌 周鸿祎:严格遵循披露原则
王峰问:今天凌晨,EOS创始人BM说,360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。BM暗指360制造恐慌。对此,你怎么看?
周鸿祎称,对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。
周鸿祎说,通常的步奏就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报。BM的回应让人混乱,我们遵循了负责任的行业标准流程,先报告,再修复,最后公开。非常明确地说 我们先私下联系了BM,通知漏洞,修复后再公布,这些我有聊天记录截屏。今天早上在和BM沟通时,他们依然是非常认同我们的成果和技术实力的。
至于制造恐慌,周鸿祎说,可以直接在主网上线时放出这个,恐慌效果一定比现在要好的多。
周鸿祎强调,在这整个过程中,360都是非常负责任的严格遵循安全行业的安全漏洞披露原则的。我们做为国内最大的一家安全厂商,在全球也是排名前三的安全厂商,我们希望和全球同行和科技公司一起,解决网络安全问题,降低网络安全问题给用户带去的损害。帮助大家发现漏洞、修补漏洞,让大家提供安全放心的产品给用户,是我们共同的责任。
周鸿祎否认360要做空EOS
王峰问,坊间说,你们和EOS很快有合作要公布?也有人传360联合某些组织在做空EOS?
周鸿祎直言,在本月28日,360安全团队与EOS BM团队取得了沟通,但目前双方没有直接合作,区块链安全是双方一直关注的问题。
周鸿祎说,从我们披露漏洞的时间其实应该就能知道肯定不是在做空。假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。我们采取的做法是安全行业标准的漏洞通报机制,这是非常负责任的做法,希望EOS乃至整个区块链行业发展的更好。(韩大鹏)
目前多家企业与360达成战略合作
近期,币安与360达成安全方面的深度合作,360将为币安提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。同时,360安全团队也将向币安提供长期的安全检测服务,任何的技术漏洞将会在第一时间提出及解决。
作为360在数字钱包领域的首家战略合作方,Dbank表示将和360就安全和DAPP实现场景等领域继续展开深度合作。双方将结合360安全大脑,深度挖掘用户在数字钱包领域的需求,加固核心代码,同时拓展EOS超级节点安全解决方案和区块链应用落地场景。
Dbank核心安全技术由360支持,具备包括包括“手机病毒检测”、“数字证书安全”、“虚假合约地址识别”等10层安全防护。同时有便捷的“EOS一键映射”功能。
而EosLaoMao宣布,已经与北京奇虎科技有限公司(360)达成战略合作,双方将利用360安全大脑,携手共同成立研发团队,合作发展节点生态。
