近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。29日凌晨,360第一时间将该类漏洞上报EOS官方,并协助其修复安全隐患。EOS网络负责人表示,在修复这些问题之前,不会将EOS网络正式上线。
5月30日,360董事长周鸿祎就EOS史诗级漏洞一事接受火星财经创始人王峰采访。在谈到EOS的漏洞时,周鸿祎表示,EOS现在的估值至少百亿美金,所以说这个漏洞价值百亿美金并不夸张。
周鸿祎介绍,如果EOS漏洞被人利用,可以控制EOS网络里面的每一个节点和服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。一旦拿到服务器权限,黑客就可以为所欲为。 如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走。 所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。
坊间传闻360联合某些组织在做空EOS,周鸿祎驳斥了这样的说法。周鸿祎说,360安全团队发现漏洞后,首先和EOS团队取得联系,提交漏洞详情,待EOS修复完毕后才对完公布。这不仅是符合安全行业标准的漏洞通报机制,而且是非常负责任的做法。如果存在恶意做空的想法,完全不必在EOS主网上线前进行先期沟通,只需等主网上线再爆出漏洞就行。
此外,周鸿祎透露,他本人以及360安全团队也只是从2017年年底才开始关注区块链技术和相关的安全问题的。在这个过程中,360安全团队发现:尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度,都会带来bug和漏洞,bug和漏洞被人利用,就会带来风险,就会有安全问题。
区块链的安全问题并非个案,以太坊也有过几次严重的安全事件:2016年6月17日,当时最大的众筹项目TheDAO遭到攻击,导致300多万以太币资产被分离出资产池;2017年7月21日,智能合约编码公司Parity确认有 15万以太币被盗。以及,最近的BEC被巨量增发抛售。因此360的做法并不是要做空EOS,而是希望EOS乃至整个区块链行业发展的越来越好,越来越安全。
