每日最新頭條.有趣資訊

周鴻禕談區塊鏈史詩級漏洞:真正的安全問題還沒出來

  周鴻禕談區塊鏈“史詩級”漏洞:真正的安全問題還沒出來

  劉景豐

  5月29日,360發布一份涉及EOS的高危安全漏洞報告,稱其為“區塊鏈史詩級漏洞”,可完全控制虛擬貨幣交易。周鴻禕發微博稱,這個漏洞價值超過“百億美金”,如果被非法利用,嚴重情況下,EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。

  報告發布後,全球市值排名第五的數字貨幣EOS幣價一天下跌約10%,後又拉升。

  周鴻禕微博截圖

  這個漏洞真的影響面這麽廣?我們先來了解三個問題。

  什麽是EOS?

  EOS是被稱為“區塊鏈3.0”的新型區塊鏈平台,旨在為高性能分布式應用提供底層區塊鏈平台服務。其目標是實現一個類似作業系統的支撐分布式應用程式的區塊鏈架構。

  如果做個類比,EOS就像Windows作業系統,隻不過這個作業系統支持的是分布式應用程式(DAPP),並可以同時支持幾千個分布式應用程式(DAPP)在平台運行。

  EOS的架構可以提供账戶、身份認證、數據庫、異步通信以及可在數以萬計的 CPU/GPU群集上進行程式調度和並行運算。EOS最終可以支持每秒執行數百萬個交易,同時普通用戶執行智能合約無需支付使用費用。目前其代幣EOS的市值高達690億人民幣,在全球市值排名第五。

  漏洞是怎麽回事?

  根據360的報告,該漏洞是一個緩衝區越界寫入漏洞,屬於EOS底層的惡意智能合約類的程式漏洞。通過這個漏洞,攻擊者可以把一個惡意智能合約上傳到節點伺服器,之後節點伺服器就會解析這個惡意合約,然後惡意合約就會在伺服器上被執行,再控制該節點伺服器。

  控制了節點伺服器之後,攻擊者攻擊者可以竊取超級節點的私鑰,將惡意合約打包到新的區塊中,繼而進一步控制EOS網絡內的所有節點。

  漏洞怎麽發現的?

  29日下午360首席安全工程師鄭文彬稱,早在今年5月11日就發現EOS存在遠程代碼執行的漏洞。5月28日下午1時,360方面完成了利用漏洞控制整個EOS網絡的演示,驗證了這一漏洞的可操作性。28日深夜,360將漏洞細節同步到EOS項目方。5月29日供應商修複了開源軟體項目託管平台GitHub上的漏洞,並解決了問題。

  今天,中國創客導師、360公司創始人、董事長兼CEO周鴻禕在“3點鍾火星財經創始學習群”與藍港互動創始人、火星財經發起人王峰發起對話,詳細講述了360披露EOS嚴重安全漏洞的經過,以及他對區塊鏈安全問題的看法。

  周鴻禕 / 視覺中國

  “這個漏洞價值百億美金並不誇張”

  問:5月29日360爆料EOS嚴重安全漏洞,隨後360在一天之內連續公布了與幣安、歐鏈、EOS LaoMao、Dbank等項目的合作,這是為什麽?

  周鴻禕:在安全上我們是專家,所以在去年底今年初我們開始關注區塊鏈安全。儘管很多區塊鏈、數字貨幣的設計都標榜非常安全,但任何軟體系統,只要非常複雜,這種複雜度都會帶來bug和漏洞,一旦被人利用就會帶來風險,有安全問題。

  之前大家都在關注區塊鏈帶來的商業機會,但是很少有人關注區塊鏈安全問題。我們最近發現了很多區塊鏈系統、交易所系統、錢包系統存在安全問題。EOS準備上線,在區塊鏈行業裡非常具有代表性,我們這次發現EOS漏洞,提交給對方,希望督促他們修補系統。

  很多人和我們合作,說明大家開始重視安全。

  我們很開放,沒有任何立場,我們願意幫助所有玩家保護用戶安全,希望把區塊鏈行業的安全生態發展起來。

  問:在360公布#3498 EOS漏洞之前,EOS的bug已經在Github上提交了3497條,但鮮有人關注其影響。你如何看待昨天披露安全漏洞的嚴重程度?為什麽360安全衛士在微博上將之稱為“史詩級”漏洞?

  周鴻禕:如果漏洞被人利用,可以控制EOS網絡裡面每一個節點、每一個伺服器,那不僅是接管網絡裡面的虛擬貨幣、各種交易和應用,也可以接管節點裡面所有參與的伺服器。一旦拿到伺服器權限,就可以為所欲為。

  如果有人做一個惡意的智能合約,就能夠把裡面所有的數字貨幣直接拿走。

  對區塊鏈網絡來說,這個漏洞的嚴重性可想而知。

  再說“史詩級”。EOS在區塊鏈發展史上的重要性大家肯定知道,如果我們沒有提出這個漏洞,EOS沒有修複,等到EOS主網上線,漏洞被惡意的黑客發現並利用了,那時候EOS會不會一夜之間就被搞掉,我們都不好說。

  EOS現在的估值至少百億美金,所以我覺得這個漏洞價值百億美金並不誇張。

  另外“史詩級”是安全圈內部的說法,從“Epic”翻譯過來,國外安全社區經常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。

  問:30日凌晨EOS創始人BM在電報群中回應360披露的EOS安全漏洞問題,稱360報告中提到的漏洞早已被EOS修複,且早於360發布報告的時間,且漏洞並不能改寫可執行記憶體。暗指360製造恐慌,並聲明對於任何挑起市場恐慌的行為將取消其獎勵資格。對此,你怎麽看?

  周鴻禕:我們安全團隊最早在5月28日直接跟BM團隊聯繫溝通的,非常明確地說,我們先私下聯繫了BM,通知了他們EOS漏洞,希望他們先修複,這都是有聊天記錄截屏的,修複完我們再對外發布這個漏洞公告。

  我們安全廠商對外公開披露的漏洞,一定是先和對方溝通,提交給對方去修複,在得到他們修複的確認之後,然後我們再公開。

  因為如果EOS沒有修複,我們公布出來了,肯定會有一大波黑客立馬上去攻擊,所以我們發布報告的時間當然會晚於修複時間。

  這對微軟、谷歌、蘋果等的所有安全漏洞都一樣,我們首先挖掘漏洞,挖出來之後就會研究,會怎麽被黑客們利用;把這些研究透了,再向相關廠商匯報,比如這次EOS的,就是把怎麽利用的影片還有涉及的詳細代碼報告給了對方;再然等對方確認修複之後,我們才會對外公布。

  我們提交的漏洞,EOS官方是確認真實有效的,並且我們在和EOS官方及BM一直在溝通關於漏洞提交和定性的事情。而且,今天早上在和BM溝通時,他們依然是非常認同我們的成果和技術實力的。

  周鴻禕 / 視覺中國

  “區塊鏈領域真正的安全問題還沒出來”

  問:此次發布EOS漏洞事件讓Vulcan(伏爾甘)團隊一戰成名,能否具體介紹下他們?坊間說,你們和EOS很快有合作要公布,你方便透露嗎?

  周鴻禕:360 Vulcan團隊最早是我們360安全衛士的攻防研究團隊,有一年他們要參加Pwn2Own,一個比較厲害的世界黑客大賽,所以他們組了一個小組,就是Vulcan團隊。

  我們和EOS方面目前沒有直接合作的,區塊鏈安全是我們一直關注的問題,此外360也是互聯網科技企業,像EOS這些主要的公鏈,我們在技術研究方面一直有投入。從今年初開始就已經與一些合作夥伴,就EOS生態建設、安全防護、主節點的競爭等方面進行交流討論。

  問:坊間有傳聞,昨天360曝光安全漏洞引發了各種猜測和起哄,稱360聯合某些組織在做空EOS,你怎麽看?

  周鴻禕:大家從我們披露漏洞的時間,其實應該就能知道我們肯定不是在做空。

  假如我真想惡意做空的話,完全可以捂著,等EOS主網上線,直接爆出來。

  我們現在的做法是安全行業標準的漏洞通報機制,先和EOS團隊聯繫,提交漏洞詳情,然後等他們修複完成了,我們才對外公布,這是非常負責任的做法。我們是希望EOS乃至整個區塊鏈行業發展的更好。

  問:除了EOS之外,我注意到以太坊也有過幾次嚴重的安全事件,對於其他區塊鏈項目而言,也需額外警惕安全風險。你認為區塊鏈企業自身應該采取哪些措施,加強區塊鏈的安全性?

  周鴻禕:我認為區塊鏈領域真正的安全問題還沒出來。

  通過這次披露EOS漏洞,我們希望是讓大家能夠重視區塊鏈安全問題。

  網絡安全行業兩種情況是最可怕的,一種是做沙漠裡的鴕鳥,知道不改;還有一種是知道了不爆出來,最後被人利用。

  我最近在提一個概念,叫“大安全”。簡單說,就是網絡安全的影響已經從最初簡單的資訊安全演變到現在從線上到線下都會受到網絡攻擊的威脅,並且新威脅越來越多。區塊鏈作為這兩年新火起來的技術,它遇到的安全威脅,我也把它歸到新威脅裡面。

  這種情況下,光靠某個企業自身的安全防護能力肯定是有限的,反過來光靠360這樣一家安全公司也不行,所以應該是整個安全行業需要得到發展。此外還可以做一些漏洞獎勵計劃,讓整個安全社區都來幫助解決安全問題。我們每年都會幫谷歌、微軟和蘋果他們解決很多問題,他們都有自己的漏洞獎勵計劃,對提交漏洞的團隊給予獎勵。

  問:如果360進入區塊鏈行業,360的機會在哪裡?

  周鴻禕:我們現在看區塊鏈、涉足區塊鏈,肯定還是圍繞安全。未來區塊鏈行業一定會出現更多的安全問題,之前傳統互聯網領域裡面遇到的安全問題,區塊鏈行業裡面一定也會遇到。

  這就是我們的機會,當然我們也有自信和實力在其中擔起責任,保護區塊鏈行業健康穩定安全發展。

  問:能否介紹下360在區塊鏈安全方面的布局和方案,比如交易所安全怎麽做?礦池安全怎麽做?智能合約安全方面又怎麽做?

  周鴻禕:我們未來會基於區塊鏈安全生態推出三個系統,主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。

  在數字貨幣錢包安全審計系統,會詳細地列一些審計的要點,闡述如何做一款比較安全的數字錢包,從而保障用戶的財產安全;

  區塊鏈安全態勢感知系統是基於360安全大腦的系統,可以自動對異常區塊、異常交易、異常地址和智能合約進行監控,不僅可以將交易風險降到最低,而且還可對非法數字貨幣進行溯源;區塊鏈節點安全解決方案,目前主要會針對EOS。

  360對外發布的區塊鏈安全態勢感知系統

  “代碼是人寫的,肯定會有漏洞”

  問:360定義的安全業務的邊界有多大?

  周鴻禕:我們關注人工智能或者區塊鏈的安全,都有一個共同點,都是要寫代碼實現的。而代碼是人寫的,肯定會有漏洞。

  對於新生事物,看到美好一面的同時,我會不自覺的看到他們潛在的安全風險。搞安全的人更像是一個“看門人”,時刻都要保持一顆懷疑之心、守護之心。

  關於邊界這個事情,我們現在在進入一個大安全時代,我覺得不能把安全業務的邊界框死了,網絡安全行業,有越來越多的安全問題會出現,這對於360來說,是我們面臨的挑戰,但也是我們的機遇。

  作為一個創業者的角度看,或者從企業運營者的角度看,企業也不應該是框死在一個事情上的,我們核心是安全基因,基於此,我們的邊界是一個有限的無限邊界。

  問:與PC互聯網時代佔盡先發優勢不同,移動互聯網時代360優勢並不明顯,這會不會讓你感覺到失落?你是一個不服輸的人,這會不會是360有一天大舉進軍區塊鏈的動力?

  周鴻禕:安全行業,說刺激也很刺激,不管是去年5月的勒索病毒,還是昨天的EOS漏洞,一下子就讓全行業都關注到你了。

  與此同時,安全也是一件需要耐得住寂寞、需要長久投入努力的事情。

  這些年,我們在原創核心技術上積累非常多,比如360安全大腦的網絡安全太空大數據是目前全球規模最大的。也因為有這些大數據和數據中心,360安全大腦的態勢感知、智能查殺、攻防與溯源,包括應急響應上,現在在全球都非常具備競爭力。

  我不服輸,不是說非要進軍區塊鏈,而是在大安全這個新時代裡希望能夠繼續發揮360安全守護者的作用。區塊鏈應用以後有可能深入生活、生產的多個方面,360當然希望充當一個“守護者”的角色,為區塊鏈應用保駕護航。

  編輯:魏佳 倪雪瑩

責任編輯:白仲平

獲得更多的PTT最新消息
按讚加入粉絲團