5月29日，360安全團(tuán)隊(duì)發(fā)表了一篇名為“360發(fā)現(xiàn)區(qū)塊鏈史詩(shī)級(jí)漏洞可完全控制虛擬貨幣交易 ”的文章，360董事長(zhǎng)周鴻祎評(píng)價(jià)該漏洞為“史詩(shī)級(jí)、價(jià)值百億美元”，由此引發(fā)市場(chǎng)恐慌，5月29日EOS價(jià)格一度下跌幅度達(dá)10%。

很快，EOS創(chuàng)始人BM在telegram群中回復(fù)稱，360報(bào)告中提到的漏洞早已被修復(fù)，且早于360發(fā)布報(bào)告的時(shí)間，BM認(rèn)為360在故意制造市場(chǎng)恐慌，并進(jìn)一步強(qiáng)調(diào)EOS主網(wǎng)上線前不會(huì)有重大BUG。

因BM宣布該漏洞早已被EOS修復(fù)。隨后EOS幣價(jià)格反彈，截止5月31日上午10點(diǎn) ，在火幣交易所，EOS|USDT價(jià)格約為78.6元。截至5月29日，EOS市值已達(dá)121.3億美元。6月2日，EOS即將主網(wǎng)上線，在這個(gè)關(guān)鍵時(shí)點(diǎn)，360高調(diào)對(duì)EOS出手究竟想干什么?

“紅衣教主”進(jìn)軍區(qū)塊鏈

在發(fā)布漏洞的當(dāng)天，360陸續(xù)與EosLaoMao、OracleChain、數(shù)字錢包Dbank、幣安等機(jī)構(gòu)達(dá)成戰(zhàn)略合作，合作對(duì)象覆蓋數(shù)字貨幣交易所、節(jié)點(diǎn)、數(shù)字貨幣錢包等各種場(chǎng)景。EosLaoMao、OracleChain都是此次EOS超級(jí)節(jié)點(diǎn)的參與方，Dbank是360在區(qū)塊鏈領(lǐng)域第一個(gè)試水的產(chǎn)品，主要是基于360技術(shù)的數(shù)字資產(chǎn)管理平臺(tái)。

第二天，即5月30日，周鴻祎又高調(diào)的參加了自媒體火星財(cái)經(jīng)的《王峰十問》。

在業(yè)內(nèi)人士看來，這是一場(chǎng)蓄謀已久的PR，“發(fā)現(xiàn)漏洞后立刻對(duì)外宣傳，且恰好風(fēng)險(xiǎn)在EOS的關(guān)鍵時(shí)間點(diǎn)，時(shí)間點(diǎn)太巧，讓人不禁遐想。”一位區(qū)塊鏈安全領(lǐng)域人士這樣認(rèn)為，不過在與火星財(cái)經(jīng)的對(duì)話中，周鴻祎否認(rèn)了這一說法。

但是至少有一點(diǎn)可以肯定，紅衣教主通過此役開始正式進(jìn)軍區(qū)塊鏈安全領(lǐng)域了。

周鴻祎聲稱接觸區(qū)塊鏈?zhǔn)菑哪昵伴_始的，混跡于三點(diǎn)鐘區(qū)塊鏈群，但很少見其在群里發(fā)聲，更多時(shí)候他是一個(gè)學(xué)習(xí)者和觀察者的角色。

而如今，360表示將進(jìn)軍區(qū)塊鏈安全領(lǐng)域。“我希望大家記住，EOS這個(gè)漏洞，不是最后一個(gè)，也一定不是最厲害的一個(gè)。”

周鴻祎介紹稱，網(wǎng)絡(luò)安全的影響已經(jīng)從最初簡(jiǎn)單的信息安全，演變到從線上到線下都會(huì)受到網(wǎng)絡(luò)攻擊的威脅，并且新威脅越來越多。

其表示未來360將圍繞區(qū)塊鏈安全生態(tài)推出三個(gè)系統(tǒng)，主要包括數(shù)字貨幣錢包安全審計(jì)系統(tǒng)、區(qū)塊鏈安全態(tài)勢(shì)感知系統(tǒng)和區(qū)塊鏈節(jié)點(diǎn)安全解決方案。

區(qū)塊鏈安全領(lǐng)域中既包含傳統(tǒng)的互聯(lián)網(wǎng)安全服務(wù)部分，比如交易所，也包括新增的智能合約部分。

在專注于網(wǎng)絡(luò)信息安全問題的白帽匯創(chuàng)始人兼CEO趙武看來，目前的鏈上出現(xiàn)的安全問題主要是智能合約的問題，誰(shuí)擁有智能合約的原創(chuàng)漏洞，誰(shuí)就有強(qiáng)大的競(jìng)爭(zhēng)力。

“大部分的企業(yè)都是跟風(fēng)，沒有研究核心漏洞的能力。這次360展現(xiàn)的能力就是利用智能合約的虛擬機(jī)機(jī)制下的漏洞完成控制，之前出現(xiàn)的一系列問題比如BEC的整型溢出導(dǎo)致的直接清零，考究的是安全團(tuán)隊(duì)的漏洞挖掘能力。”趙武表示。

360的股價(jià)也隨著這兩天的輿論遭遇了波動(dòng)，在5月29日小幅上漲2.9%后，次日再下跌3.27%，截止5月30日，三六零股價(jià)收于33.68元/股。

被忽視的區(qū)塊鏈安全

5月29日，360召開了關(guān)于發(fā)現(xiàn)EOS漏洞的新聞媒體溝通會(huì)，同時(shí)在360安全官方微博宣稱，旗下的Vulcan 團(tuán)隊(duì)發(fā)現(xiàn)區(qū)塊鏈平臺(tái)EOS的系列高危安全漏洞，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，直接控制和接管遠(yuǎn)程EOS上運(yùn)行的所有節(jié)點(diǎn)。

“如果漏洞被人利用，可以控制EOS網(wǎng)絡(luò)里面的每一個(gè)節(jié)點(diǎn)、每一個(gè)服務(wù)器，那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點(diǎn)里面所有參與的服務(wù)器，拿到服務(wù)器權(quán)限，就可以為所欲為了。”周鴻祎在接受媒體采訪時(shí)表示，“EOS現(xiàn)在的估值至少百億美金了，所以我覺得這個(gè)漏洞價(jià)值百億美金并不夸張。” 360Vulcan 團(tuán)隊(duì)在5月11日發(fā)現(xiàn)了該漏洞，并于5月28日完成了利用該漏洞控制EOS網(wǎng)絡(luò)的演示，同時(shí)聯(lián)系EOS方面反饋該漏洞，5月29日凌晨?jī)牲c(diǎn)EOS團(tuán)隊(duì)將漏洞進(jìn)行了修復(fù)。

值得注意的是，360對(duì)外發(fā)布的EOS高危漏洞的時(shí)間恰好臨近EOS上線節(jié)點(diǎn)。6月2日，EOS主網(wǎng)將上線，EOS Token將基于自身公有鏈運(yùn)行，EOS被視為是繼比特幣、以太坊后第三代區(qū)塊鏈產(chǎn)品。根據(jù)鏈塔智庫(kù)的報(bào)告，在今年五月中旬以來，加密數(shù)字貨幣市場(chǎng)大跌，四個(gè)主流幣中，EOS跌幅最大，將近30%。該漏洞被360爆出后，EOS價(jià)格出現(xiàn)短暫下跌，隨后反彈。

趙武對(duì)此分析稱，目前爆出的該漏洞為平臺(tái)級(jí)的，屬于高危漏洞。在白帽匯最近發(fā)布的區(qū)塊鏈安全研究報(bào)告中，將區(qū)塊鏈攻擊事件包括共識(shí)機(jī)制、智能合約、交易平臺(tái)、用戶自身四個(gè)方面。360此次發(fā)現(xiàn)的EOS漏洞屬于智能合約中的合約虛擬機(jī)的逃逸漏洞。

據(jù)了解，智能合約通常都是一個(gè)虛擬機(jī)的形式運(yùn)行的，而逃逸漏洞可以利用虛擬機(jī)的漏洞進(jìn)行到真實(shí)主機(jī)的穿越。“區(qū)塊鏈領(lǐng)域這是第一例虛擬機(jī)逃逸案例，但是在傳統(tǒng)安全領(lǐng)域?qū)?yīng)虛擬機(jī)逃逸的案例非常多。”

在趙武看來，這通常是由于沒有投入足夠的安全測(cè)試造成的。

實(shí)際上，區(qū)塊鏈安全問題頻發(fā)。4月，因數(shù)據(jù)溢出漏洞導(dǎo)致BEC被大量拋售市值歸零，更早之前世界第二大數(shù)字貨幣交易所幣安發(fā)生賬戶被盜事件，以及日本第二大交易所Coincheck的價(jià)值5億美元新經(jīng)幣失竊，使得整個(gè)數(shù)字貨幣交易市場(chǎng)彌漫著恐慌與不安情緒。

據(jù)區(qū)塊鏈安全研究報(bào)告統(tǒng)計(jì)，80%的攻擊損失來自于業(yè)務(wù)層面的攻擊，其損失額度從2017年開始呈現(xiàn)指數(shù)上升趨勢(shì)，截止2018年3月31日，已披露的安全事件造成損失達(dá)8.1億美元。

“錢多，漏洞多，管控少這是根本原因，參與的人一多，問題就凸顯了。未來區(qū)塊鏈安全事件一定會(huì)持續(xù)的爆發(fā)一段時(shí)間，隨著安全標(biāo)準(zhǔn)和要求的逐步完善，以及鏈圈自身會(huì)加強(qiáng)安全審計(jì)和評(píng)估工作，漏洞會(huì)得到一定的控制。最終會(huì)跟目前的網(wǎng)絡(luò)安全形勢(shì)一樣，依舊嚴(yán)峻，但是相對(duì)可控。”趙武告訴《中國(guó)企業(yè)家》。