周鸿祎不费吹灰之力开了一场让罗永浩都羞愧的产品发布会。
5月29日下午两点,周鸿祎转发了“360安全卫士”的一条微博“360发现区块链史诗级漏洞 ,可完全控制虚拟货币交易!”,并评论“360安全大脑发现的区块链漏洞,价值超过‘百亿美金’”。
此时,距离EOS主网上线只剩4天。
史诗级表演
EOS于去年6月26日启动众筹,前后持续一年之久,募资额达33亿美元,是迄今为止史上最大规模的ICO。由于首席工程师BM的亮眼履历以及EOS宣称的“百万TPS”,EOS在国内支持者众,有人称它为区块链3.0,将区块链落地和大规模商用的希望寄托于此。
“史诗级漏洞”、“可完全控制虚拟货币交易”,耸动的字眼刺激着持币者的信心,而Block.one 团队此刻正在睡梦之中,未能及时安抚大洋彼岸的骚动。半天的功夫,EOS币价从11.6美元一路跌到10.7美元。
漏洞真的这么严重吗?
“360安全卫士”微博表示,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。其中部分漏洞可以通过远程攻击,直接控制和接管EOS上运行的所有节点。该漏洞的重要性在于,这是在智能合约虚拟机中发现的新型安全漏洞。
周鸿祎在微博中将其解释为“严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢”。
而比原链创始人段新星则表示:“这种漏洞很常见的,怎么就变成史诗级的了。BM第一次是加了Assert判定检查(很遗憾失效了,可能哪儿没修干净)其实也可以包一个安全函数来操作,我觉得这个漏洞倒不难改。”
漏洞是否如周所言极其严重还未有定论,持币党一曲凉凉也还未唱罢,周鸿祎的下一个动作就霸占了区块链行业头条。
当天下午,欧链科技宣布已与360达成战略合作, EOS LaoMao、币安也宣布与360在安全方面达成深度合作。
与此同时,360召开了有关EOS此次漏洞的媒体沟通会,分析了漏洞细节,对漏洞攻击进行了现场展示,并表示已经给20多个钱包进行了检测,发现80%的钱包都存在或多或少的漏洞。
直到5月30日凌晨,EOS创始人BM才如梦初醒。他在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复。对于漏洞本身,BM称大部分漏洞是来源于第三方代码库而非EOS核心代码;且该漏洞并不能改写可执行内存,且不能获得Root权限,除非部署节点时就已经是以Root用户身份来运行。
BM的回应,暗指360制造恐慌。
恐慌也罢,做空也罢,360一毛钱没花就此强势进军区块链。
区块链安全
频频曝光的一系列交易平台监守自盗、交易所遭受黑客攻击、用户账户被盗等安全事件,使我们不得不怀疑新一代“价值互联网”的安全性。
今年5月初,白帽汇安全研究院发布的《区块链产业安全分析报告》显示,2011年到2018年4月份,全球范围内因区块链因安全事件造成的损失多达28.64亿美元。损失额度从2017年开始呈现出指数上升的趋势,仅2018年以来,损失金额就高达19亿美元。
区块链是一个去中心化的平台,其智能合约等个各类代码都是面向大众公开的,黑客能够非常容易的看到源码,然后找到相关漏洞并攻击。而中心化平台的源码都是不可见的,黑客要想进行攻击智能不断尝试测试,而且容易被监测到。
其次,区块链行业大部分开发者都是刚刚进入行业,从业经验不足也会造成相关安全问题。
目前区块链安全机制并不十分健全,攻击者主要选择保护相对薄弱的数据层、网络层、共识层、扩展层和业务层进行攻击。
一位资深的互联网安全从业者评价道:区块链安全还处于初级阶段。
国家信息技术安全研究中心主任俞克群指出,目前区块链存在密码算法安全性、协议安全性、使用安全性、系统安全性等诸多挑战,风险不仅来自外部实体,也有可能来自内部参与者的攻击。如何围绕物理、数据、应用系统、加密、风险控制等构建安全体系,是我们面临的重要问题。
周鸿祎的饺子什么馅?
币圈风波未定,5月30日,人民想念的周鸿祎被请到了“王峰十问”。
也许是线上访谈太多嘈杂,周鸿祎发了牢骚:“这个十问才两问,就快一小时了,这么冗长吗。打字员打字的间隙,周鸿祎发了张图,图片上一盘饺子放在托盘上,一双筷子放在左侧。
周鸿祎说:“饺子都没顾上吃”。
他正忙着回应咄咄逼人的问题,问题集中在是否恶意做空、是否夸大漏洞、如何进军区块链三个方面。
关于“做空”指责,周鸿祎说:“我们没有立场,是中立的,我们提出任何一个系统的漏洞,都是为了帮助这个系统改善安全性,保证它的安全,不是为了打击它。”
360安全团队遵循了报告->修复->公开的行业标准流程。正如周鸿祎所说:“假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。”
关于“夸大漏洞”,周鸿祎表示“如果EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉了,我们都不好说。EOS现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。”
这样的回复并不能让公众满意,CSDN副总裁孟岩此前就曾表示:“该事件体现了360安全团队的实力,也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但360的宣布用词夸张,公关渲染痕迹严重……”。
关于360进军区块链的切入点,周鸿祎老老实实的答道:“涉足区块链,肯定还是围绕安全。”
他表示,未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。这三个系统分别指向钱包、交易所、和EOS参选节点。
接下来,周鸿祎开始阐述自己的“大安全”观念,阐述360的核心是安全基因,而代码世界的安全拥有无限边界,意指360在区块链行业安全中的想象空间。
文|徐来