• 周鴻祎
• EOS
• 區(qū)塊鏈

驅動中國2018年5月30日消息  近日，360公司Vulcan（伏爾甘）團隊發(fā)現了區(qū)塊鏈平臺EOS的一系列高危安全漏洞，并于29日披露已該類漏洞上報EOS官方，并協(xié)助其修復安全隱患。至此，EOS安全漏洞成區(qū)塊鏈行業(yè)最大的安全話題。但對于這一漏洞，EOS創(chuàng)始人BM于今日凌晨在電報群中回應360披露的EOS安全漏洞問題，稱360報告中提到的漏洞早已被EOS修復，且早于360發(fā)布報告的時間。BM的回應，暗指360制造恐慌？

今天，火星財經發(fā)起人王峰開展 “王峰十問周鴻祎”，看紅衣教主周鴻祎如何為我們揭開其間的真相？

對于360披露EOS漏洞一事，周鴻祎進行了說明。最近EOS準備上線，在區(qū)塊鏈行業(yè)里非常具有代表性，我們這次發(fā)現EOS漏洞，提交給對方，希望督促他們修補系統(tǒng)，所以我們披露漏洞，是我們安全公司的職責所在。對于本次漏洞披露，我們沒有立場，是中立，我們提出任何一個系統(tǒng)的漏洞，都是為了幫助這個系統(tǒng)改善安全性。

周鴻祎表示，非常明確地說，我們先私下聯(lián)系了BM，通知了他們eos漏洞，希望他們先修復，這都是有聊天記錄截屏的，等到eos修復了，我們再對外發(fā)布這個漏洞公告。我們安全廠商對外公開披露的漏洞，一定是先和對方溝通，提交給對方去修復，在得到他們修復的確認之后，然后我們再公開。因為如果EOS沒有修復，我們公布出來了，肯定會有一大波黑客立馬上去搞他們，所以我們發(fā)布報告的時間當然會是晚于修復時間的。

對于披露漏洞規(guī)則，周鴻祎表示，這個不僅僅是對EOS，對微軟谷歌蘋果都是一樣的，對于安全漏洞披露，通常的步奏就是，首先是挖掘漏洞，挖出來之后就會研究，會怎么被黑客們利用，把這些研究透了，再向相關的廠商匯報，比如這次EOS的，就是把怎么利用的視頻還有涉及的詳細代碼報告給了對方，再然后就是對方修復，等對方確認修復之后，我們才會對外公布。

而之所以將此次漏洞成為“史詩級”，是由于EOS在區(qū)塊鏈發(fā)展史上的重要性。倘若這個漏洞沒有提出來，EOS沒有修復，等到EOS主網上線了，被惡意的黑客發(fā)現并利用了，后果不堪設想。EOS現在估值至少百億美金了，所以我覺得這個漏洞價值百億美金并不夸張，“史詩級”是來形容比較重大的安全漏洞。

周鴻祎坦誠，其實早在2017年年底到2018年年初，360就已經在關注區(qū)塊鏈安全，開始研究區(qū)塊鏈技術和相關的安全問題。360以開放的心態(tài)面對區(qū)塊鏈行業(yè)的安全問題，后續(xù)還將會繼續(xù)深入研究區(qū)塊鏈安全問題，為區(qū)塊鏈行業(yè)提供更安全的解決方案。

談及當下的區(qū)塊鏈、數字貨幣的安全性時，周鴻祎表示，盡管很多區(qū)塊鏈、數字貨幣的設計都標榜非常安全，但任何軟件系統(tǒng)，只要非常復雜，這種復雜度，都會帶來bug和漏洞，bug和漏洞被人利用，就會帶來風險，就會有安全問題， 區(qū)塊鏈技術也一樣。

然而，此次EOS回應稱360制造恐慌，360堅稱嚴格遵守披露規(guī)則，EOS這又意在何為呢？而360未來將在區(qū)塊鏈行業(yè)安全方面將會有那些大的動作，我們將持續(xù)關注。