周鴻禕聊區塊鏈安全：別做沙漠里的鴕鳥

近日，360安全衛士發布微博，稱360發現區塊鏈史詩級漏洞，可完全控制虛擬貨幣。

該高危漏洞由360公司Vulcan（伏爾甘）團隊發現。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

周鴻禕轉發該微博後，提醒該區塊鏈價值超過百億美金，如果被非法利用，可遠程攻擊控制和接管EOS上運行的所有節點，嚴重情況下，還會導致EOS，甚至整個虛擬貨幣市場遭遇滑鐵盧。

區塊鏈遭遇安全問題，並非首次。早年最大的比特幣交易市場Mt.Gox（國內幣圈戲稱：門頭溝），因安全問題，導致客戶的75萬比特幣和自身保有的10萬比特幣丟失，當時這些比特幣價值4.8億美元，按照7000美元的最新單價粗略估計，這批比特幣現在價值接近60億美元。

有專家分析，2017年比特幣暴漲，也和當時流行的勒索病毒，不無關係，近百個國家和地區的數萬台電腦遭到攻擊。黑客將電腦中的資料文檔上鎖，並要求支付300美金等價的比特幣才能解鎖文件。突然的需求導致2017年，比特幣迅速飆升到2萬美元的高點，目前已經回落到7000美元單價。

360爆出漏洞後，在資本市場和幣圈出現兩個截然不同的結果：一個A股市場，360股價應聲上漲；同時幣圈多種虛擬貨幣聞聲下跌。與此同時，多家區塊鏈幣安、歐鏈、老貓、和Dbank項目紛紛與360達成合作，一時間360在鏈圈炙手可熱。

360爆出漏洞，也在幣圈和鏈圈引發不少爭議，陰謀論，蹭熱點，眾說紛紜。5月30日，周鴻禕做客王峰十問，針對區塊鏈安全問題做了逐一解答。

EOS漏洞是先提交周知，後曝光

（周鴻禕視頻截圖和網友力挺360的截圖）

360公布漏洞的時間點，正是國內多家區塊鏈企業競選EOS的關鍵時間點，EOS在國內有眾多瘋狂支持者，有人質疑在此時間點公布漏洞，有聯合機構做空EOS的嫌疑。周鴻禕回應，這次披露漏洞只是360作為安全廠商的指責所在，不存在蓄謀已久和陰謀論。

在公布漏洞當日，EOS創始人BM在電報群里回復稱，360報告的漏洞，早已被EOS修復，而且早於360發布報告的時間，BM的回應暗指360製造恐慌，並生產任何挑起市場恐慌的行為，將取消其獎勵資格，讓鏈圈人事，這是360精心策劃的炒作。

周鴻禕在王峰十問上回應，報告漏洞是安全廠商的慣例，「微軟、谷歌、蘋果都一樣」報告漏洞。對於公開披露的漏洞，一定是先和對方溝通，提交給對方去修復，在得到他們修復的確認之後，然後我們再公開。

「如果EOS沒有修復，我們公布出來了，肯定會有一大波黑客立馬上去搞他們，所以我們發布報告的時間當然會是晚於修復時間的。」安全漏洞披露的先修復後報告流程，從某種程度看是為了保護被披露漏洞的企業。

周鴻禕還透露，「對方不修復，我們不會公告」也是安全圈的行業通行做法。對於EOS漏洞，360方面一直在BM單獨溝通，他在Telegram上的留言的截圖是昨天晚上的，在留言之後，很快回復說，漏洞是真實存在有效的，但是就被截掉了。周鴻禕認為其中有些「斷章取義」。

挖出EOS漏洞的攻防團隊已經很有名氣

此次發布EOS漏洞事件，讓Vulcan（伏爾甘）團隊一戰成名，但周鴻禕透露Vulcan團隊早在安全圈子裡小有名氣。

Vulcan（伏爾甘）是360安全衛士的攻防研究團隊，最初是為了參加Pwn2Own黑客大賽，建了一個小組。這個團隊在攻防研究、挖掘廠商漏洞和幫助廠商修復漏洞上實力相當強悍。

2015年Vulcan組隊去參加Pwn2Own 2015，當時用了17秒攻破了微軟的IE11，是歷史上首支成功攻破IE的亞洲團隊，並因此獲獎。Pwn2own黑客大賽上，Vulcan團隊連續多年斬獲了十幾項冠軍，在Pwn2own2017上更是拿到了世界總冠軍。

360在移動安全領域報告的漏洞，更是受到谷歌多次致謝。在谷歌發表了2017年漏洞獎勵計劃總結報告中，360Alpha團隊報告的「穿雲箭」組合漏洞，拿到了安卓漏洞獎勵計劃（ASR）三年來給出的史上最高獎勵——11.25萬美元，並獲得了谷歌公司的鄭重感謝。

區塊鏈安全兩種情況最可怕：知而不改，知而不曝

區塊鏈安全問題日益嚴重，除了比特幣，以太坊也發生了幾次嚴重的安全事件：2016年6月17日，當時最大的眾籌項目TheDAO遭到攻擊，導致300多萬以太幣資產被分離出資產池；2017年7月21日，智能合約編碼公司Parity確認有15萬以太幣被盜。

但在周鴻禕認為，真正的安全問題還沒有出來，而360公司披露的EOS漏洞，希望大家能夠重視區塊鏈安全問題。「安全問題不是說這次我們披露了，大家熱鬧一天就完了。我希望大家記住，EOS這個漏洞，不是最後一個，也一定不是最厲害的一個。」

周鴻禕看來，有兩種情況最可怕：「一種是做沙漠里的鴕鳥，知道不改，還有一種是知道了不爆出來，最後被人利用，這兩個才是最可怕的。「

周鴻禕：搞安全的人，更像一個看門人

周鴻禕坦言，搞安全的人更像是一個「看門人」，時刻都要保持一顆懷疑之心、守護之心。「對於新生事物，不管是新興技術還是什麼，看到美好一面的同時，作為搞安全的，我會不自覺的看到他們潛在的安全風險」。

360在5月中旬發布了「區塊鏈安全態勢感知系統」，同時針對錢包、交易所、礦池和智能合約四大塊推出了「區塊鏈生態安全解決方案」。周鴻禕介紹，未來會基於區塊鏈安全生態推出三個系統，主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。

對於安全的邊界，周鴻禕則認為：「企業也不應該是框死在一個事情上的，我們核心是安全基因，基於此，我們的邊界是一個有限的無限邊界。」

雄心財經：

聚焦區塊鏈、數字貨幣、科技股投資、上市公司點評、跨境資產配置等新財經趨勢。每日一篇深度原創，用真正的互聯網思維解讀財經大事件。你不理財，財不理你，我們努力讓您成為理財的明白人。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！