5月29日，互聯(lián)網(wǎng)公司360霸占了所有區(qū)塊鏈媒體的頭條，不僅成功吸引了用戶眼球，市場行情也跟著跌宕起伏了一把。社區(qū)認(rèn)為，這可以看作是360高調(diào)宣布入局區(qū)塊鏈的里程碑事件。

事件起源于微博賬號“360安全衛(wèi)士”中午發(fā)布的一則消息。消息稱，360公司Vulcan（伏爾甘）團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。該漏洞的重要性在于，這是在智能合約虛擬機(jī)中發(fā)現(xiàn)的新型安全漏洞，360團(tuán)隊稱：“360發(fā)現(xiàn)區(qū)塊鏈?zhǔn)吩娂壜┒础?rdquo;

不過，巴比特關(guān)注到，EOS開發(fā)者BM（Daniel Larimer）昨天深夜回復(fù)：在360官方發(fā)布消息前，該漏洞已被修復(fù)。

一個已被修復(fù)的漏洞是如何發(fā)酵成新聞頭條的？

由于時差原因，360官方發(fā)布消息時，EOS技術(shù)團(tuán)隊無法及時回復(fù)，事件在不確定性當(dāng)中繼續(xù)發(fā)酵。盡管并未發(fā)生實質(zhì)安全事故，但EOS價格在市場恐慌情緒中持續(xù)下跌，全球市場平均跌幅達(dá)8%。

新聞發(fā)布幾小時后，Block.one CEO Brendan Blumer 在電報群中做出回應(yīng)：“盡管我們的開發(fā)團(tuán)隊還正在睡覺，Block.one已經(jīng)在關(guān)注所有正在被報道的事情。我們對公眾的持續(xù)審查表示感謝，這也是開放源碼項目能夠如此強(qiáng)大的原因所在。讓我們來關(guān)注于如何構(gòu)建一個更安全的互聯(lián)網(wǎng)以及其他建設(shè)性的事情之上；我們都感到非常激動。”

而直到新聞發(fā)布接近十小時后，BM才在電報群表示，“中國的漏洞新聞是一個FUD（可理解為制造恐慌），在新聞發(fā)布前，漏洞已經(jīng)全部被修復(fù)。制造恐慌傳播的bug提交者將會失去獲取賞金和認(rèn)可的資格。”

盡管在360發(fā)布消息之前，該漏洞已被修復(fù)，但360官方發(fā)布的稿件中卻淡化了這點(diǎn)。在從消息發(fā)出，EOS團(tuán)隊無法及時回應(yīng)的幾個小時里，社區(qū)對漏洞事實的判斷存在極大不確定性，EOS市值從104億美元縮水至97億美元。

360是如何發(fā)現(xiàn)EOS漏洞的？

下午，360安全團(tuán)隊的Yuki Chen和Zhiniang Peng在奇虎360技術(shù)博客中公布了發(fā)現(xiàn)EOS該漏洞并報告給EOS技術(shù)團(tuán)隊的過程。節(jié)選編譯如下：

漏洞描述：

在解析WASM文件時，我們發(fā)現(xiàn)并成功地利用了EOS的緩沖區(qū)溢出寫入漏洞。

通過這個漏洞，攻擊者可以在節(jié)點(diǎn)服務(wù)器解析合約后，將惡意智能合約上傳到節(jié)點(diǎn)服務(wù)器，節(jié)點(diǎn)服務(wù)器就會解析這個惡意合約，然后惡意合約就會在服務(wù)器上被執(zhí)行，再控制該節(jié)點(diǎn)服務(wù)器。

在控制了節(jié)點(diǎn)服務(wù)器之后，攻擊者可以將惡意合約打包到新的塊中，并進(jìn)一步控制EOS網(wǎng)絡(luò)的所有節(jié)點(diǎn)。

該報告還顯示，漏洞發(fā)現(xiàn)的時間為5月11日，360安全團(tuán)隊于5月29日與EOS團(tuán)隊進(jìn)行了溝通，EOS團(tuán)隊修復(fù)了GitHub上的漏洞，5月29日，注意到該漏洞并未修復(fù)完成。

在報告內(nèi)附的360安全團(tuán)隊與BM的對話截圖中可以得知，在知曉了該漏洞存在后，BM表示不會在漏洞修復(fù)完成之前發(fā)布EOS主網(wǎng)。同時希望360團(tuán)隊私下將漏洞報告給他，因為有些人正在使用公共測試網(wǎng)絡(luò)。聊天截圖的最后顯示，該漏洞已被修復(fù)。

存在“史詩級漏洞”的EOS有歸零風(fēng)險嗎？

360官方團(tuán)隊發(fā)布的消息用“史詩級“描述了該漏洞，并稱“足以轟癱整個數(shù)字貨幣體系”，“可完全控制虛擬貨幣交易”。

該事件引發(fā)了社區(qū)的熱烈討論。慢霧科技聯(lián)合創(chuàng)始人余弦談到，360 發(fā)現(xiàn)的這個漏洞確實很嚴(yán)重，本質(zhì)應(yīng)該就是：惡意合約->合約虛擬機(jī)穿透->控制服務(wù)器。同時，他還透露了EOS 超級節(jié)點(diǎn)攻擊的幾個入口，包括：1. P2P 端口；2. RPC 端口；3. 惡意智能合約；4. 服務(wù)器與集群等其他缺陷；5. 人員安全缺陷。

所謂“史詩級”漏洞的影響到底有多大？隨著恐慌情緒在社區(qū)發(fā)酵，關(guān)于EOS歸零的言論甚囂塵上。參與EOS超級節(jié)點(diǎn)的歐鏈科技告訴巴比特，“EOS不會歸零，”同時，歐鏈科技肯定了360公布此漏洞的態(tài)度，并認(rèn)為這是對EOS甚至未來區(qū)塊鏈安全的長久利好。

“a)首先漏洞在EOS正式上線前公布，避免了EOS上線后被0day攻擊的可能。可以設(shè)想，如果這個漏洞被其他的黑客首先發(fā)現(xiàn)或者利用，會對整個項目產(chǎn)生不可挽回的破壞。

b)在EOS官方尚未對該漏洞進(jìn)行恢復(fù)前，360并未公布太多該漏洞的細(xì)節(jié)，也避免了這一漏洞被惡意利用的可能。

c)目前360這樣巨大體量的安全公司開始以公益性的方式接入到EOS等公鏈項目，正標(biāo)志著傳統(tǒng)互聯(lián)網(wǎng)的安全技術(shù)公司開始重視并介入到區(qū)塊鏈領(lǐng)域。這對于未來區(qū)塊鏈尤其是公鏈項目的安全會是一個長久的利好。”

不過，社區(qū)也有部分意見認(rèn)為，360官方對該漏洞的評價過于嚴(yán)重，不乏有借勢炒作之嫌。

比原鏈創(chuàng)始人段新星發(fā)布微博評價，

“大致看了下，就是一個利用數(shù)組越界漏洞可導(dǎo)致內(nèi)存溢出，獲得超級權(quán)限覆蓋掉WASM，填寫新的可執(zhí)行代碼進(jìn)去，進(jìn)行惡意操作。這種漏洞很常見的，怎么就變成史詩級的了。BM第一次是加了Assert判定檢查（很遺憾失效了，可能哪兒沒修干凈）其實也可以包一個安全函數(shù)來操作，我覺得這個漏洞倒不難改。”

CSDN副總裁孟巖在公開采訪時表示，

“該事件體現(xiàn)了360安全團(tuán)隊的實力，也能幫助全球區(qū)塊鏈技術(shù)社區(qū)審視同質(zhì)化區(qū)塊鏈網(wǎng)絡(luò)的固有問題。但360的宣布用詞夸張，公關(guān)渲染痕跡嚴(yán)重，如果能夠平實一些，細(xì)節(jié)多一些會更好。”

“史詩級”營銷：360是最大贏家？

一片慌亂中，事件的另一方360，已經(jīng)為自己賺足了眼球。

下午，360公司董事長兼CEO周鴻祎發(fā)布微博稱，360已經(jīng)做了EOS超級節(jié)點(diǎn)安全解決方案，

“360安全大腦發(fā)現(xiàn)的區(qū)塊鏈漏洞，價值超過“百億美金”，如果被非法利用，可以遠(yuǎn)程攻擊控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)，嚴(yán)重情況下，EOS乃至整個虛擬貨幣市場都會遭遇滑鐵盧。360從年初開始，已經(jīng)在區(qū)塊鏈安全方面做了很多研究，已經(jīng)做了幾個區(qū)塊鏈安全解決方案，也包括EOS超級節(jié)點(diǎn)安全解決方案。”

隨后，當(dāng)天下午，多家區(qū)塊鏈相關(guān)公司相繼宣布與360達(dá)成合作：

歐鏈科技將與360合作，利用360安全大腦，共同打造EOS超級節(jié)點(diǎn)安全解決方案，合作內(nèi)容包括360安全大腦向歐鏈科技提供區(qū)塊鏈安全技術(shù)，以及提供區(qū)塊鏈安全服務(wù)等；

EOSLaoMao也宣布與360達(dá)成戰(zhàn)略合作，共同成立研發(fā)團(tuán)隊，在網(wǎng)絡(luò)安全維護(hù)、攻落攻擊預(yù)警方面做努力；

幣安宣布與360達(dá)成安全方面深度合作，360將為幣安提供一系列智能合約代碼審計服務(wù)和長期安全檢測服務(wù)。

同期，360在北京總部召開了有關(guān)EOS此次漏洞的媒體溝通會，分析了漏洞細(xì)節(jié)，對漏洞攻擊進(jìn)行了現(xiàn)場展示，并表示已經(jīng)給20多個錢包進(jìn)行了檢測，發(fā)現(xiàn)80%的錢包都存在或多或少的漏洞。在此之前，360已經(jīng)提交了門羅幣的漏洞，過幾天還會提交以太坊的漏洞。

晚間，據(jù)媒體消息，360宣布將依托360安全大腦積累，在物理安全、平臺安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全六方面進(jìn)行防御部署。

360在短短一個下午完成了披露提供EOS超級節(jié)點(diǎn)安全解決方案，組織漏洞分析媒體溝通會，以及公告與多家區(qū)塊鏈行業(yè)企業(yè)達(dá)成安全方面的合作。此舉被認(rèn)為是360借勢為進(jìn)軍區(qū)塊鏈做了一場免費(fèi)又聲勢浩大的“史詩級“營銷。

區(qū)塊鏈安全是一個值得深入探討并重視的話題。區(qū)塊鏈開發(fā)過程中存在bug在所難免，項目團(tuán)隊?wèi)?yīng)及時自查，發(fā)現(xiàn)修補(bǔ)，投資者也無須過度恐慌。同時，借勢營銷應(yīng)當(dāng)有度，不應(yīng)以擾亂市場為代價。

不過，360此番借勢營銷的本質(zhì)，可以視為傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域有巨大體量的安全技術(shù)公司已經(jīng)正式介入?yún)^(qū)塊鏈。盡管半個區(qū)塊鏈社區(qū)都為EOS揪了一把心，但長遠(yuǎn)來看，對EOS乃至整個區(qū)塊鏈生態(tài)建設(shè)未嘗不是一件好事。

不過眼下，社區(qū)更關(guān)心的問題可能是，在該事件影響下，EOS主網(wǎng)上線會否推遲？你怎么看？