近日,360 公司 Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。29 日凌晨,360 第一时间将该类漏洞上报 EOS 官方,并协助其修复安全隐患。EOS 网络负责人表示,在修复这些问题之前,不会将 EOS 网络正式上线。
5 月 30 日,360 董事长周鸿祎就 EOS 史诗级漏洞一事接受火星财经创始人王峰采访。在谈到 EOS 的漏洞时,周鸿祎表示,EOS 现在的估值至少百亿美金,所以说这个漏洞价值百亿美金并不夸张。
周鸿祎介绍,如果 EOS 漏洞被人利用,可以控制 EOS 网络里面的每一个节点和服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。一旦拿到服务器权限,黑客就可以为所欲为。 如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。 所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。
坊间传闻 360 联合某些组织在做空 EOS,周鸿祎驳斥了这样的说法。周鸿祎说,360 安全团队发现漏洞后,首先和 EOS 团队取得联系,提交漏洞详情,待 EOS 修复完毕后才对完公布。这不仅是符合安全行业标准的漏洞通报机制,而且是非常负责任的做法。如果存在恶意做空的想法,完全不必在 EOS 主网上线前进行先期沟通,只需等主网上线再爆出漏洞就行。
此外,周鸿祎透露,他本人以及 360 安全团队也只是从 2017 年年底才开始关注区块链技术和相关的安全问题的。在这个过程中,360 安全团队发现:尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度,都会带来 bug 和漏洞,bug 和漏洞被人利用,就会带来风险,就会有安全问题。
区块链的安全问题并非个案,以太坊也有过几次严重的安全事件:2016 年 6 月 17 日,当时最大的众筹项目 TheDAO 遭到攻击,导致 300 多万以太币资产被分离出资产池;2017 年 7 月 21 日,智能合约编码公司 Parity 确认有 15 万以太币被盗。以及,最近的 BEC 被巨量增发抛售。因此 360 的做法并不是要做空 EOS,而是希望 EOS 乃至整个区块链行业发展的越来越好,越来越安全。
周鸿祎:EOS 漏洞价值百亿,做空传闻不实最先出现在动点科技。