5月29日，360安全團隊發(fā)表了一篇名為“360發(fā)現(xiàn)區(qū)塊鏈?zhǔn)吩娂壜┒纯赏耆刂铺摂M貨幣交易 ”的文章，360董事長周鴻祎評價該漏洞為“史詩級、價值百億美元”，由此引發(fā)市場恐慌，5月29日EOS價格一度下跌幅度達10%。

很快，EOS創(chuàng)始人BM在telegram群中回復(fù)稱，360報告中提到的漏洞早已被修復(fù)，且早于360發(fā)布報告的時間，BM認(rèn)為360在故意制造市場恐慌，并進一步強調(diào)EOS主網(wǎng)上線前不會有重大BUG。

因BM宣布該漏洞早已被EOS修復(fù)。隨后EOS幣價格反彈，截止5月31日上午10點 ，在火幣交易所，EOS|USDT價格約為78.6元。截至5月29日，EOS市值已達121.3億美元。6月2日，EOS即將主網(wǎng)上線，在這個關(guān)鍵時點，360高調(diào)對EOS出手究竟想干什么?

“紅衣教主”進軍區(qū)塊鏈

在發(fā)布漏洞的當(dāng)天，360陸續(xù)與EosLaoMao、OracleChain、數(shù)字錢包Dbank、幣安等機構(gòu)達成戰(zhàn)略合作，合作對象覆蓋數(shù)字貨幣交易所、節(jié)點、數(shù)字貨幣錢包等各種場景。EosLaoMao、OracleChain都是此次EOS超級節(jié)點的參與方，Dbank是360在區(qū)塊鏈領(lǐng)域第一個試水的產(chǎn)品，主要是基于360技術(shù)的數(shù)字資產(chǎn)管理平臺。

第二天，即5月30日，周鴻祎又高調(diào)的參加了自媒體火星財經(jīng)的《王峰十問》。

在業(yè)內(nèi)人士看來，這是一場蓄謀已久的PR，“發(fā)現(xiàn)漏洞后立刻對外宣傳，且恰好風(fēng)險在EOS的關(guān)鍵時間點，時間點太巧，讓人不禁遐想。”一位區(qū)塊鏈安全領(lǐng)域人士這樣認(rèn)為，不過在與火星財經(jīng)的對話中，周鴻祎否認(rèn)了這一說法。

但是至少有一點可以肯定，紅衣教主通過此役開始正式進軍區(qū)塊鏈安全領(lǐng)域了。

周鴻祎聲稱接觸區(qū)塊鏈?zhǔn)菑哪昵伴_始的，混跡于三點鐘區(qū)塊鏈群，但很少見其在群里發(fā)聲，更多時候他是一個學(xué)習(xí)者和觀察者的角色。

而如今，360表示將進軍區(qū)塊鏈安全領(lǐng)域。“我希望大家記住，EOS這個漏洞，不是最后一個，也一定不是最厲害的一個。”

周鴻祎介紹稱，網(wǎng)絡(luò)安全的影響已經(jīng)從最初簡單的信息安全，演變到從線上到線下都會受到網(wǎng)絡(luò)攻擊的威脅，并且新威脅越來越多。

其表示未來360將圍繞區(qū)塊鏈安全生態(tài)推出三個系統(tǒng)，主要包括數(shù)字貨幣錢包安全審計系統(tǒng)、區(qū)塊鏈安全態(tài)勢感知系統(tǒng)和區(qū)塊鏈節(jié)點安全解決方案。

區(qū)塊鏈安全領(lǐng)域中既包含傳統(tǒng)的互聯(lián)網(wǎng)安全服務(wù)部分，比如交易所，也包括新增的智能合約部分。

在專注于網(wǎng)絡(luò)信息安全問題的白帽匯創(chuàng)始人兼CEO趙武看來，目前的鏈上出現(xiàn)的安全問題主要是智能合約的問題，誰擁有智能合約的原創(chuàng)漏洞，誰就有強大的競爭力。

“大部分的企業(yè)都是跟風(fēng)，沒有研究核心漏洞的能力。這次360展現(xiàn)的能力就是利用智能合約的虛擬機機制下的漏洞完成控制，之前出現(xiàn)的一系列問題比如BEC的整型溢出導(dǎo)致的直接清零，考究的是安全團隊的漏洞挖掘能力。”趙武表示。

360的股價也隨著這兩天的輿論遭遇了波動，在5月29日小幅上漲2.9%后，次日再下跌3.27%，截止5月30日，三六零股價收于33.68元/股。

被忽視的區(qū)塊鏈安全

5月29日，360召開了關(guān)于發(fā)現(xiàn)EOS漏洞的新聞媒體溝通會，同時在360安全官方微博宣稱，旗下的Vulcan 團隊發(fā)現(xiàn)區(qū)塊鏈平臺EOS的系列高危安全漏洞，其中部分漏洞可以在EOS節(jié)點上遠(yuǎn)程執(zhí)行任意代碼，直接控制和接管遠(yuǎn)程EOS上運行的所有節(jié)點。

“如果漏洞被人利用，可以控制EOS網(wǎng)絡(luò)里面的每一個節(jié)點、每一個服務(wù)器，那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點里面所有參與的服務(wù)器，拿到服務(wù)器權(quán)限，就可以為所欲為了。”周鴻祎在接受媒體采訪時表示，“EOS現(xiàn)在的估值至少百億美金了，所以我覺得這個漏洞價值百億美金并不夸張。” 360Vulcan 團隊在5月11日發(fā)現(xiàn)了該漏洞，并于5月28日完成了利用該漏洞控制EOS網(wǎng)絡(luò)的演示，同時聯(lián)系EOS方面反饋該漏洞，5月29日凌晨兩點EOS團隊將漏洞進行了修復(fù)。

值得注意的是，360對外發(fā)布的EOS高危漏洞的時間恰好臨近EOS上線節(jié)點。6月2日，EOS主網(wǎng)將上線，EOS Token將基于自身公有鏈運行，EOS被視為是繼比特幣、以太坊后第三代區(qū)塊鏈產(chǎn)品。根據(jù)鏈塔智庫的報告，在今年五月中旬以來，加密數(shù)字貨幣市場大跌，四個主流幣中，EOS跌幅最大，將近30%。該漏洞被360爆出后，EOS價格出現(xiàn)短暫下跌，隨后反彈。

趙武對此分析稱，目前爆出的該漏洞為平臺級的，屬于高危漏洞。在白帽匯最近發(fā)布的區(qū)塊鏈安全研究報告中，將區(qū)塊鏈攻擊事件包括共識機制、智能合約、交易平臺、用戶自身四個方面。360此次發(fā)現(xiàn)的EOS漏洞屬于智能合約中的合約虛擬機的逃逸漏洞。

據(jù)了解，智能合約通常都是一個虛擬機的形式運行的，而逃逸漏洞可以利用虛擬機的漏洞進行到真實主機的穿越。“區(qū)塊鏈領(lǐng)域這是第一例虛擬機逃逸案例，但是在傳統(tǒng)安全領(lǐng)域?qū)?yīng)虛擬機逃逸的案例非常多。”

在趙武看來，這通常是由于沒有投入足夠的安全測試造成的。

實際上，區(qū)塊鏈安全問題頻發(fā)。4月，因數(shù)據(jù)溢出漏洞導(dǎo)致BEC被大量拋售市值歸零，更早之前世界第二大數(shù)字貨幣交易所幣安發(fā)生賬戶被盜事件，以及日本第二大交易所Coincheck的價值5億美元新經(jīng)幣失竊，使得整個數(shù)字貨幣交易市場彌漫著恐慌與不安情緒。

據(jù)區(qū)塊鏈安全研究報告統(tǒng)計，80%的攻擊損失來自于業(yè)務(wù)層面的攻擊，其損失額度從2017年開始呈現(xiàn)指數(shù)上升趨勢，截止2018年3月31日，已披露的安全事件造成損失達8.1億美元。

“錢多，漏洞多，管控少這是根本原因，參與的人一多，問題就凸顯了。未來區(qū)塊鏈安全事件一定會持續(xù)的爆發(fā)一段時間，隨著安全標(biāo)準(zhǔn)和要求的逐步完善，以及鏈圈自身會加強安全審計和評估工作，漏洞會得到一定的控制。最終會跟目前的網(wǎng)絡(luò)安全形勢一樣，依舊嚴(yán)峻，但是相對可控。”趙武告訴《中國企業(yè)家》。