2018-05-30

昨日下午1时许，360公司对外通报，他们发现了EOS平台存在一系列高危安全漏洞，部分漏洞可在EOS节点上远程执行任意代码，通过远程攻击，直接控制和接管EOS上运行的所有节点。

360用“区块链史诗级漏洞”形容了这一隐患的级别，并称“可完全控制虚拟货币交易”。

尽管360强调已在29日凌晨上报EOS官方并协助修复漏洞，但消息发布后，已经处于下跌走势的EOS在一小时内，从11.21美元下探至10.73美元，跌幅4%。

今日下午，发现此漏洞的360 Vulcan（伏尔甘）团队在对外的发布会上表示，这部分漏洞存在，危害虽大，但修复起来并不困难，他们看到EOS已经修复了漏洞。后续也还会向官方提交更多发现，对方也向他们表示，在修复这些问题前，EOS主网不会正式上线。

区块链业内多方也对360此举给出不同的解读，散户投资者将此视作一次做空消息；而参加EOS超级节点竞选的一些团队认为，在主网上线前，发现漏洞、修补BUG很正常，360的加入让EOS多了安全保障。

Vulcan（伏尔甘）团队否认“做空”说法，他们表示，这次的发布仅是互联网安全行业的常规流程，但他们也直言此举为了“体现360在区块链安全领域的价值”。

仅一行代码现漏洞但危险系数高

在发布漏洞消息2个小时后，今日下午4点，360举行发布会， Vulcan（伏尔甘）团队负责人和360的安全专家对外披露了发现EOS上漏洞的相关细节。

360首席安全工程师、伏尔甘团队负责人郑文彬回忆，早在半个月前，他们就发现了EOS上存在的漏洞，花了一周的时间证明这一漏洞确实会被利用。

郑文彬描述，漏洞存在于EOS系统中的一行代码中，一旦被触发，会导致维护EOS网络的超级节点接连被控制，进一步造成全节点被控，包括交易所冲提现节点、数字货币钱包服务器节点等等，而全节点被控相当于EOS整个网络被控制，危害的直接结果包括窃取超级节点私钥，控制EOS 数字币的交易，获取用户钱包私钥，威胁数字资产安全。

360核心安全事业部安全研究员彭峙酿进一步解释了漏洞触发机制，他称，攻击者可利用EOS发布智能合约，将恶意代码写进合约中，当超级节点解析合约时，就会触发漏洞被控制，遭控制的超级节点又会将恶意代码打包发送，其他的超级节点又会去验证，一验证又被控制，形成传染般的接连被控。

郑文彬表示，在证明漏洞会被利用后，团队成员于昨日下午记录了代码漏洞的细节详情，连同解决方案形成报告，并联系到EOS的联合创始人Daniel Larimer，向对方提供了该报告。

“漏洞就存在于一行代码中，修复起来比较简单。”郑文彬说，他们已经看到漏洞得到了修复。

“史诗级漏洞”引各方解读

在发布这一报告时，360公司用“史诗级”形容了EOS上的这一漏洞。随着报告的传播，EOS币价下跌， 越发引起各方对EOS本身价值的判断，外界猜测360 动机的同时，也对他们发布报告的举动进行了不同的解读，造成了一系列的“舆论地震”。

暴露漏洞的EOS，被不看好它的大V抨击为“垃圾项目”。陈伟星转发360的发现时，发朋友圈称EOS为区块链毒瘤，是“毫无理想主义的极致炒作圈钱者”，募集资金去向不明、Dpos机制过度中心化、炒作超级节点都成为他“看衰”EOS的论据。

而在EOS支持者看来，EOS主网上线前肯定会存在发现漏洞、修补BUG的正常过程。早在今年3、4月份热闹的超级节点竞选期间，多个竞选方在不同的路演现场都表达过对EOS主网上线前安全性、稳定性不足的看法，以及币价波动的可能。

360的报告发出后，竞选团队HelloEOS的创始人梓岑就表示，EOS主网尚上线，抓BUG修BUG是日常，“这次有360的高手护航，也给EOS再多一重保障。”

EOS项目方也对主网上线前的安全性测试有所举动。

今日，在360发布这一报告前，EOS创始人Daniel Larimer也发布推特表示，在EOS1.0版本发布之前，帮助他们发现EOS1.O中关键BUG的贡献者，将获得1万美金的奖励。Daniel Larimer关键BUG的定义为“对于任何可能导致崩溃、特权升级或智能契约中不确定性行为的独特漏洞”。

360布局区块链安全的野心

对于持有EOS的散户来说，360发布的报告被视作利空消息，更有人认为360在利用报告做空EOS。

今日，在发布会上，郑文彬否认了做空的说法，他说，如果做空，在主网上线后操作可能更有效果，“这只是安全行业的常规操作。”

业内的区块链安全公司也对360发布报告的举动持有不同看法。一家公司成员以“他们确实挺强”认可了360在区块链安全上的能力，但他也表示，他们昨晚也向EOS官方提交过高危漏洞报告，待官方修复后发布，报告风格会考虑市场。

另一家区块链安全公司的创始人认为，“360作为安全公司，可以做的更好。”他认可这一漏洞后果的严重性，但他认为，EOS主网还没有上线，更多应该走提交BUG和修补的流程，急迫地发布报告会带来市场恐慌，“再说外面也没在攻击。”

360的报告很快就为他们带来了“益处”，分别有一家项目方和交易所相继发布与360达成战略合作。

事情的关键正如BM定性的那样，此次漏洞事件并非“BUG”而是一个“FUD”即制造恐慌：

1、踩着“恐慌”的时间节点。360选择了EOS主网上线前三天曝光漏洞。如此关键时期，草木皆兵，一个是传统互联网领域的安全巨头，在安全领域的权威性品牌形象，一个是牵扯30亿美元在数字货币市场市值排名第五的热门项目。尽管此前对EOS的质疑声音不少，但360站出来，其威慑力自然不可小觑。据360方面称，其在年初就已经开始区块链安全研究工作，想必该漏洞也不是这一两天才发现的（360已经准备好了解决方案），那为何偏偏选择在主网上线前的关键时刻进行曝光？况且漏洞本身已经被修复，360应该考虑到这会给市场带来的震荡影响。

2、过于密集的媒体负面报道。假使漏洞是昨天刚发现的，360也表示第一时间上报给了EOS团队，但从BUG提交到美国EOS团队回应前，至少需要几个小时的时间差。在此危机真空期，360不曾和EOS团队同步媒体曝光细节并作预警，就大肆展开媒体报道，确实制造了市场盲目恐慌。尽管360不承认有做空行为，但实际产生了一些做空效应。

3、是敌人还是盟友？吊诡的是，漏洞刚爆出不久，（EosLaoMao）等超级节点就开始站队了，表示将和360区块链安全持续保持沟通，深入探讨安全的重要性。OracleChain也宣布与360战略合作，表示双方将共同发布EOS超级节点安全解决方案细节。就在漏洞情况EOS官方明确表态还没给出的情况下，360安全就已经以护航者的姿态渗透进EOS的超级节点生态当中了，这一波操作堪称完美。当然于超级节点而言抱360大腿是为了借势赢得节选，那么360又是为了什么呢？代号“伏尔甘”，很容易让人联想到吃鸡游戏中的“伏地魔”，一直深藏不露，关键时候挺身而出致命一击，最后吃鸡！

恰如，量子链帅初在微信群里表示，该漏洞在支持虚拟机的合约平台上容易发生，智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽，都会有机会ddos整个区块链网络。

ETH、EOS等智能合约开放平台，近两年取得了野蛮式的快速成长，但作为一个区块链生态公链，未来做DAPP开发影响的会是数以千计的项目。因此平台成长过程中的生态安全问题至关重要。由于智能合约有不可逆、公开访问等特性，时不时有BUG爆出来也正常，需要第三方安全公司参与进来做智能合约审计和纠错。

写在最后：

金庸在《天龙八部》作品中塑造了一个“假传消息”者的形象，他怂恿“带头大哥”造成雁门关灭门惨案，成了终生无法挽回的过错。这个假传消息者大家都知道是慕容复之父慕容博，其与萧峰、萧远山、鸠摩智被金庸小说读者誉为“天龙四绝”。脆弱的智能合约生态初期，需要这样的“绝世高手”，但是拯救武林还是毁灭江湖，高手的节点性意义可想而知。

这两天流行一个段子，“链圈在后方打怪升级，币圈在前方送人头”补充一句，古典互联网的爸爸们，就别制造网络卡顿了。

不过，整体而言，作为第三方安全领域的技术公司，能以更专业、更权威的姿态第一时间曝光安全漏洞，解读漏洞威胁，维护区块链安全生态，这是好事。媒体更应该看到，360布局区块链生态安全给整个行业带来的利好因素，而不是一味的炒作和炮制恐慌情绪。