红衣教主周鸿祎进入区块链领域？

在这里读懂他们的故事

区块链的圈子从来都很热闹，这几天又有智能合约被曝存在严重漏洞，而这一次提出漏洞的是被网友调侃“做什么什么倒霉”的红衣教主——360创始人周鸿祎。

5月29日，来自360公司的 Vulcan（伏尔甘）团队向媒体公布，其发现了区块链平台EOS的一系列高危安全漏洞，并表示部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。原本，EOS打算6月1日上线，但就在这临门一脚的时候，被曝出“史诗级”漏洞。在漏洞发布不久后，周鸿祎在其个人微博中对这次漏洞的评价为“价值超过百亿美金”。

面对媒体360是否想做空EOS的质疑，周的回答是否认的。他说360只是希望维护区块链的安全云云，只是这样的说法并不能让网友信服。红衣教主是否要进入区块链，我们还要打一个问号。

EOS和它的“史诗级”漏洞

目前，EOS的代币市值高达690亿人民币，在全球市值排名第五，曾宣称是“区块链3.0”新型平台。据圈内人分析，EOS在圈内的知名度之所以高，原因之一是其团队宣称，EOS的TPS（每秒提交交易数量） 可以达到几千，这样的系统吞吐量是非常吸引人的，目前比特币的 TPS 只有7，以太坊是40，rippleshi 可以达到1000，fabric 是200。如果真的能达到其所宣称的TPS性能，则能部分解决区块链平台交易费用高、确认时间长、扩展性差的问题。

关于这次360发现的漏洞，老周在微博中称，如果被非法利用，可以远程攻击控制和接管EOS上运行的所有节点，严重情况下，EOS乃至整个虚拟货币市场都会遭遇滑铁卢。漏洞的发现者“古河”在其个人微博中解释，在64位系统中，攻击者要实现远程代码执行是非常困难的，因为在远程攻击进程中一般缺乏漏洞利用所需的内存布局/多次读写过dep/aslr的手段。

“牵一发而动全身”就是对这个漏洞最好的总结。区块链是把 N 个点联在一起的，而攻击者就是其中的一个点，他会构造并发布包含恶意代码的智能合约，随后，EOS 超级节点在执行这个恶意合约的过程中，会触发其中的安全漏洞。紧接着，攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。这样造成的结果是，由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取EOS 超级节点的密钥，控制EOS 网络的虚拟货币交易；获取EOS 网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据。

360始终是安全专家

就在EOS上线前夕才发布漏洞，许多媒体专家都纷纷质疑360这一做法是否有意而为之，旨在打入区块链这一新兴行业。但是，教主还是很明确地回答道360始终关注的是网路安全问题，而自己也不懂区块链货币。教主透露，在安全上是专家的360，所以在去年底他们就开始关注区块链安全。尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度都会带来bug和漏洞，一旦被人利用就会带来风险，有安全问题。

之前人们都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。而360最近发现了很多区块链系统、交易所系统、钱包系统存在安全问题。EOS准备上线，在区块链行业里非常具有代表性，所以这次360发现EOS漏洞，才会马上提交给对方，督促他们修补系统。

当下，很多区块链企开始和360合作，说明他们开始重视安全。而教主也说360很开放，没有任何立场，愿意帮助所有玩家保护用户安全，希望把区块链行业的安全生态发展起来。

教主直面质疑问

30日凌晨EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间，且漏洞并不能改写可执行内存。暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此教主回应道360的安全团队最早在5月28日直接跟BM团队联系沟通，而且是先私下联系了BM，通知了他们EOS漏洞，希望他们先修复，修复完360再对外发布这个漏洞公告，这些话网上确实都是有聊天记录截屏的。

教主还回答道，360安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后360再公开。因为如果EOS没有修复，360就公布出来，肯定会有一大波黑客立马上去攻击，所以他们发布报告的时间当然会晚于修复时间。

教主还列举了360应对微软、谷歌、苹果等其它公司的安全漏洞时的做法，360首先挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用；把漏洞研究透了，再向相关厂商汇报，像这次EOS的漏洞，就是把怎么利用的视频还有涉及的详细代码报告给了对方；再然等对方确认修复之后，360才会对外公布。

360提交的漏洞，EOS官方是确认真实有效的，并且360一直在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情。而且，360早上在和BM沟通时，EOS依然是非常认同360的成果和技术实力的。

在这里读懂他们的故事

往期人物