剛剛，EOS向360發布3萬美金致謝

北京時間6月2日凌晨，EOS1.0正式版發布，同一時間，EOS官方就近期出現的一系列高危漏洞做出回應，向發現漏洞的360公司安全團隊公開致謝，對其中3個漏洞分別給出1萬美元的賞金，同時表示，歡迎安全社區人員共同努力保證EOS1.0軟體安全性的持續提高。

這是EOS官方首次向安全機構發布賞金致謝。

EOS是被稱為「區塊鏈3.0」的新型區塊鏈平台，目前其代幣市值高達690億人民幣，在全球市值排名第五。目前，EOS還就更多漏洞情況與360進行溝通。

360董事長周鴻禕日前表示，區塊鏈作為這兩年新火起來的技術，它遇到的安全威脅屬於新威脅。區塊鏈行業，應該與網路安全行業，做到協同開放，共同構建安全生態。

圖：360累計獲3萬美金致謝

5月29日，360Vulcan（伏爾甘）團隊宣布，發現了EOS平台的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。29日凌晨，漏洞公布前，360已第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。

由於區塊鏈網路去中心化的計算特點。一個區塊鏈節點實現上的安全漏洞，可能引發成千上萬的節點遭到攻擊。甚至，在傳統軟體漏洞領域被認為相對危害較小的拒絕服務漏洞，在區塊鏈網路中則可能引發整個網路癱瘓的風暴攻擊，對整個數字貨幣系統造成巨大衝擊。

360曝光的EOS漏洞，如果被人利用，可以控制EOS網路裡面的每一個節點、每一個伺服器，不僅僅是接管網路裡面的虛擬貨幣、各種交易和應用，也可以接管節點裡面所有參與的伺服器。可以說，如果有人做一個惡意的智能合約，就能夠把裡面所有的數字貨幣直接拿走。

EOS漏洞的攻擊可以以秒級的速度在多個節點和超級節點之間傳播，從控制節點到生成新塊繼續傳播是連續的、鏈式的爆炸動作，很可能20秒就接管了所有的節點，完成了操作。

想像一下，當攻擊者已經拿到整個EOS網路里至高無上的許可權，就相當於滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為的。對於區塊鏈網路來說，不會有比這個更嚴重的漏洞了。

360此次發現EOS的重大漏洞，是基於360安全大腦體系。

360安全大腦是360多年技術積累的結晶。360安全大腦的網路安全空間大數據，現在是全球規模最大的。也因為有這些大數據和數據中心，360安全大腦的態勢感知、智能查殺、攻防與溯源，包括應急響應上，現在在全球都非常具備競爭力。

事實上，360早已關注人工智慧和區塊鏈，他們的共同點是無論是AI的演算法，還是區塊鏈的演算法，都是通過寫代碼實現的，而代碼是人寫的，肯定會有漏洞的。

開源軟體中，每千行平均就有6-8個安全漏洞。

全球正在進入一個大安全時代，因為雲計算、大數據、人工智慧還有物聯網這些新技術的發展，網路安全已然不是最初的信息安全，而是從個人的信息安全、金融安全、家庭安全、出行安全，到企業安全，再到社會的公共安全，再到國家的信息基礎設施安全、政治安全、軍事安全。

周鴻禕此前亦表示，在大安全新時代，希望能夠繼續發揮360安全守護者這個作用。區塊鏈應用以後有可能深入生活、生產的多個方面，360作為國內最大的安全公司，當然希望充當一個「守護者」的角色，為區塊鏈應用保駕護航。

獎金多少無所謂？這群黑客上億人民幣都不要！

價值百億美金的漏洞，獎金只有3萬美金，是不是少了點？但對於安全研究者來說，他們對於漏洞經濟價值的態度是：不感興趣！

今年年初，谷歌、微軟、蘋果等巨頭公布了2017年漏洞致謝榜，根據國外漏洞軍火商 ZERODIUM 發布的2017年漏洞「牌價」表來看，安全研究者2017年給互聯網三巨頭報告的漏洞，放在黑市上，價值最低也有2000萬美元，摺合人民幣上億！一個Chrome漏洞價格最高在15萬美元左右，iOS漏洞的價格最高竟然可達150萬美元。

但在安全從業者眼裡，把漏洞提交廠商修復來保護用戶安全，遠比賣給網路軍火商進行惡意攻擊更有價值，儘管這些漏洞大多只能獲得廠商免費的感謝。谷歌和微軟也為部分漏洞設立了獎金鼓勵，但價格和黑市上的差距卻天壤之別！

近幾年， 360蟬聯漏洞報告榜單首位。2016年，向各大廠商提交408枚漏洞，創世界紀錄排名榜首；2017年全年，360提交的漏洞增至519枚，再次刷新紀錄。這些漏洞能換取的利益，遠遠不如讓產品變得更安全，或者得到致謝來得有意義。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！