漏洞是怎么回事？

　　根据360的报告，该漏洞是一个缓冲区越界写入漏洞，属于EOS底层的恶意智能合约类的程序漏洞。通过这个漏洞，攻击者可以把一个恶意智能合约上传到节点服务器，之后节点服务器就会解析这个恶意合约，然后恶意合约就会在服务器上被执行，再控制该节点服务器。

　　控制了节点服务器之后，攻击者攻击者可以窃取超级节点的私钥，将恶意合约打包到新的区块中，继而进一步控制EOS网络内的所有节点。

　　漏洞怎么发现的？

　　29日下午360首席安全工程师郑文彬称，早在今年5月11日就发现EOS存在远程代码执行的漏洞。5月28日下午1时，360方面完成了利用漏洞控制整个EOS网络的演示，验证了这一漏洞的可操作性。28日深夜，360将漏洞细节同步到EOS项目方。5月29日供应商修复了开源软件项目托管平台GitHub上的漏洞，并解决了问题。

　　今天，中国创客导师、360公司创始人、董事长兼CEO周鸿祎在“3点钟火星财经创始学习群”与蓝港互动创始人、火星财经发起人王峰发起对话，详细讲述了360披露EOS严重安全漏洞的经过，以及他对区块链安全问题的看法。

　　“这个漏洞价值百亿美金并不夸张”

　　问：5月29日360爆料EOS严重安全漏洞，随后360在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？

　　周鸿祎：在安全上我们是专家，所以在去年底今年初我们开始关注区块链安全。尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度都会带来bug和漏洞，一旦被人利用就会带来风险，有安全问题。

　　之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。我们最近发现了很多区块链系统、交易所系统、钱包系统存在安全问题。EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统。

　　很多人和我们合作，说明大家开始重视安全。

　　我们很开放，没有任何立场，我们愿意帮助所有玩家保护用户安全，希望把区块链行业的安全生态发展起来。

　　问：在360公布#3498 EOS漏洞之前，EOS的bug已经在Github上提交了3497条，但鲜有人关注其影响。你如何看待昨天披露安全漏洞的严重程度？为什么360安全卫士在微博上将之称为“史诗级”漏洞？

　　周鸿祎：如果漏洞被人利用，可以控制EOS网络里面每一个节点、每一个服务器，那不仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。一旦拿到服务器权限，就可以为所欲为。

　　如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走。

　　对区块链网络来说，这个漏洞的严重性可想而知。

　　再说“史诗级”。EOS在区块链发展史上的重要性大家肯定知道，如果我们没有提出这个漏洞，EOS没有修复，等到EOS主网上线，漏洞被恶意的黑客发现并利用了，那时候EOS会不会一夜之间就被搞掉，我们都不好说。

　　EOS现在的估值至少百亿美金，所以我觉得这个漏洞价值百亿美金并不夸张。

　　另外“史诗级”是安全圈内部的说法，从“Epic”翻译过来，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

　　问：30日凌晨EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间，且漏洞并不能改写可执行内存。暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？

　　周鸿祎：我们安全团队最早在5月28日直接跟BM团队联系沟通的，非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞，希望他们先修复，这都是有聊天记录截屏的，修复完我们再对外发布这个漏洞公告。

　　我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。

　　因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去攻击，所以我们发布报告的时间当然会晚于修复时间。

　　这对微软、谷歌、苹果等的所有安全漏洞都一样，我们首先挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用;把这些研究透了，再向相关厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方;再然等对方确认修复之后，我们才会对外公布。

　　我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情。而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。

　　“区块链领域真正的安全问题还没出来”

　　问：此次发布EOS漏洞事件让Vulcan（伏尔甘）团队一战成名，能否具体介绍下他们？坊间说，你们和EOS很快有合作要公布，你方便透露吗？

　　周鸿祎：360 Vulcan团队最早是我们360安全卫士的攻防研究团队，有一年他们要参加Pwn2Own，一个比较厉害的世界黑客大赛，所以他们组了一个小组，就是Vulcan团队。

　　我们和EOS方面目前没有直接合作的，区块链安全是我们一直关注的问题，此外360也是互联网科技企业，像EOS这些主要的公链，我们在技术研究方面一直有投入。从今年初开始就已经与一些合作伙伴，就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。

　　问：坊间有传闻，昨天360曝光安全漏洞引发了各种猜测和起哄，称360联合某些组织在做空EOS，你怎么看？

　　周鸿祎：大家从我们披露漏洞的时间，其实应该就能知道我们肯定不是在做空。

　　假如我真想恶意做空的话，完全可以捂着，等EOS主网上线，直接爆出来。

　　我们现在的做法是安全行业标准的漏洞通报机制，先和EOS团队联系，提交漏洞详情，然后等他们修复完成了，我们才对外公布，这是非常负责任的做法。我们是希望EOS乃至整个区块链行业发展的更好。

　　问：除了EOS之外，我注意到以太坊也有过几次严重的安全事件，对于其他区块链项目而言，也需额外警惕安全风险。你认为区块链企业自身应该采取哪些措施，加强区块链的安全性？

　　周鸿祎：我认为区块链领域真正的安全问题还没出来。

　　通过这次披露EOS漏洞，我们希望是让大家能够重视区块链安全问题。

　　网络安全行业两种情况是最可怕的，一种是做沙漠里的鸵鸟，知道不改;还有一种是知道了不爆出来，最后被人利用。

　　我最近在提一个概念，叫“大安全”。简单说，就是网络安全的影响已经从最初简单的信息安全演变到现在从线上到线下都会受到网络攻击的威胁，并且新威胁越来越多。区块链作为这两年新火起来的技术，它遇到的安全威胁，我也把它归到新威胁里面。

　　这种情况下，光靠某个企业自身的安全防护能力肯定是有限的，反过来光靠360这样一家安全公司也不行，所以应该是整个安全行业需要得到发展。此外还可以做一些漏洞奖励计划，让整个安全社区都来帮助解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题，他们都有自己的漏洞奖励计划，对提交漏洞的团队给予奖励。

　　问：如果360进入区块链行业，360的机会在哪里？

　　周鸿祎：我们现在看区块链、涉足区块链，肯定还是围绕安全。未来区块链行业一定会出现更多的安全问题，之前传统互联网领域里面遇到的安全问题，区块链行业里面一定也会遇到。

　　这就是我们的机会，当然我们也有自信和实力在其中担起责任，保护区块链行业健康稳定安全发展。