小美 
5月29日中午,360安全卫士官微发布文章《360发现区块链史诗级漏洞,可完全控制虚拟货币交易》,一石激起千层浪,短时间新闻快速发酵,链圈币圈群纷纷奔走相告,各种“内部”消息层出不穷。文章中涉及市值70亿美金的EOS,其在360文章发布后1小时下跌超过7%。吓得币圈瑟瑟发抖,万一哪天小币种被360查查漏洞,那搞不好怕是要归零。
29号一整天,整个币圈的鼻子被360牵着走,无论是从营销角度还是切入链圈的方式,都可以说这次360发声获得了相当大的影响力。
一、事件背景
近几年360整体业务增长乏力,在回归A股经历一轮爆炒之后,股价从上市时的65元跌到现在的36元,近乎腰斩。作为一家科技公司,在继续在古典互联网业务之外,面对新的区块链技术,也迫切渴望获得新的业务增长点。但即便是想要加入区块链,他所能做的还是老本行,以技术为公司安全保驾护航。
只可惜,区块链太热,币圈太火,大家的关注度都放在赚钱上,周教主在喊区块链安全问题不容忽视时,他的声音完全被掩盖。这一位互联网界的大老哥,也不能去主动找币圈小弟合作吧,既放不下身段,也乱了辈分不是,或许就有了这次的EOS闪电式“杀毒”事件。
二、事件经过
现在币圈EOS正是热币之一,360让公司最牛逼的团队---Vulcan(伏尔甘)深入研究,挖掘EOS代码中的漏洞。在EOS主网上线仅剩3天的关键时期,在北京时间下午美国时间半夜的巧妙时间,爆EOS超级漏洞,引来巨大流量。各大媒体都同时爆出来360的这个消息, 瞬间360和EOS在百度和微信的搜索指数暴涨好几倍。
“区块链史诗级漏洞”“足以轰瘫数字体系的区块链漏洞”,“虚拟货币交易完全受控”“前所未有的安全风范”等等UC部震惊系列短语让媒体在传播的过程中把内容的真实性扭曲,事件严重性夸大,短时间360成功把流量集中在一个关键时间打到了一个点上,而且和最热的EOS同时出现。
三、事件发酵
据360公开媒体发布会显示,360团队在28向Block.one团队反馈漏洞。28日晚上10点左右,360技术人联系Block.one官方反馈EOS软件漏洞问题。29日凌晨得到EOS回复称,EOS网络正在修复。凌晨2点左右,EOS网络已经完成修复。
在国内区块链媒体短时间内集体高潮下,360郑重宣布,自己从事区块链安全研究多时,拥有最牛逼的安全团队,为区块链项目保驾护航。之后从下午到晚上,360喜讯一波接一波。
1.360和老猫合作,作为竞选节点的安全大脑。
2.360和Dbank数字钱包合作。
3.360和欧链合作。
4.360和币安合作。
5.360做客王峰十问。
有人说,周教主就像是世外高人,闲云孤鹤,端着一杯清茶,在棋局里放下缓缓最后一个杀手锏的子,大获全胜。也有人说,周教主就是一只老虎,躲在草丛中伺机而动,只为等待最大的猎物出现,一举拿下,一鸣惊人。不论谁的评价更到位,不可否认的是,这一次在币圈,周教主又是一战成名。
四、周教主回应质疑
关于360的这次事件网上已有诸多猜测,就在今日下午1时左右,周教主在王峰十问群内回答了关于前文所称述的一些质疑。区块部落据关键问答内容作出整理。
1.此前险有谈论区块链,而昨天闪电爆料EOS严重安全漏洞,并在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作,这是否是蓄谋已久?
周教主表示之前对区块链发言相对较少,主要是尚有一些东西没看懂,但在安全上360是专家,所以在17年年底18年年初,就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。任何软件系统,只要复杂到一定程度,都会带来bug和漏洞,bug和漏洞被人利用,就会带来风险,就会有安全问题。区块链技术也一样,因此360现在关注的也比较多,也愿意跟更多的区块链项目合作。
2.而关于昨天披露安全漏洞的严重程度?为什么称这个漏洞价值百亿美元?为什么360安全卫士在微博上将之称为“史诗级”漏洞?这些用词到底准备准确,有无夸大的成分在里面?
周教主先解释了一下,如果漏洞被人利用,可以控制EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。
在此条回答后,李笑来在群里对周教主点赞致意。
3.EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间?
周教主表示不仅仅是对EOS,对微软谷歌苹果都是一样的,对于安全漏洞,通常的步奏就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报。比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方,再然后就是对方修复,等对方确认修复之后,我们才会对外公布。
因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。BM的回应让人以为是,360报告前他们已经修复了,其实360是遵循了负责任的行业标准流程,报告->修复->公开的顺序,且有聊天记录可查。
4.对于漏洞本身,BM称大部分漏洞是来源于第三方代码库而非EOS核心代码;且该漏洞并不能改写可执行内存,且不能获得Root权限,除非部署节点时就已经是以Root用户身份来运行。周教主怎么看?(这个问题是双方对于漏洞定性的问题)
周教主这里的回答很专业,直接摘录:这个他提到的这个root权限,root权限是指计算机系统里面的最高权限。是否获得root权限,不影响攻击者控制EOS节点,没有root权限也是一样的。如果用户使用root权限运行eos,那么攻击者就可以获取root权限。
5.BM的回应,暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此,周教主怎么看?
周教主说360一直在和对方保持沟通,对方对360表示感谢,也表示会给发放漏洞奖金,对外发致谢。其提交的漏洞,EOS官方是确认真实有效的,今天早上在和BM沟通时,其也认同我们的成果和技术实力的。在这整个过程中,360都是非常负责任的严格遵循安全行业的安全漏洞披露原则。
笔者认为,360作为国内最大,全球排名前三的安全厂商,在见证区块链行业良性发展的过程中是不可或缺的角色。这是一个酒香也怕巷子深的时代,区块链行业如此热闹,我们也需要听到更多的监督者发声。水能载舟,亦能覆舟,技术给我们带来变革,也能带来毁灭,漏洞出现了可以亡羊补牢,而讳疾忌医是不可取的。都说周教主在蹭热点,比起众多戏精,显然他才是实力派。
正像周教主所说的一样,区块链作为新兴的技术方向,我们参与进来,都是希望和大家一起共同构建安全放心的区块链产品和服务。之前传统互联网领域里面遇到的安全问题,未来区块链行业里面一定也会遇到。这就是我们在其中的机会,当然我们也有自信和实力在其中担起责任,保护区块链行业健康稳定安全发展。
