周鸿祎说虚拟货币违法

近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

EOS是被称为“区块链3.0”的新型区块链平台，目前其代币市值高达690亿人民币，在全球市值排名第五。EOS临近主网上线，好事一波三折。EOS拥有区块链行业最为庞大的社区，在上线之际，360爆出史诗级漏洞，让人不禁太多联想。

5月29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。

足以轰瘫数字体系的区块链漏洞

传统软件领域的漏洞可能被利用来发起网络攻击，造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系，在数字货币和区块链网络中的安全漏洞，往往会有更严重、更直接的影响。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

EOS超级节点攻击：虚拟货币交易完全受控

在攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

更有甚者，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。

在发布漏洞的当天，360陆续与EosLaoMao、OracleChain、数字钱包Dbank、币安等机构达成战略合作，合作对象覆盖数字货币交易所、节点、数字货币钱包等各种场景。EosLaoMao、OracleChain都是此次EOS超级节点的参与方，Dbank是360在区块链领域第一个试水的产品，主要是基于360技术的数字资产管理平台。

周鸿祎表示，此次发现的漏洞，价值百亿美金

EOS创始人BM在eos开发者群里对360的发布做出了回应：中国的漏洞新闻是一个FUD即制造恐慌，因为该漏洞早在被发布前就已经修复了，而且是一个较为常见的漏洞，但是bm称该漏洞并不能改写可执行内存，且不能获得root权限，除非部署节点时就已经是以root用户身份来运行。同时bm表示对这种将该已知已修复漏洞在系统测试期间同时是美国团队需要至少几小时才能回复的情况下大肆报道的行为表示不赞同。另外团队已基本修复了目前所有被发现的漏洞，大部分漏洞是来源于第三方代码库而非eos核心代码。最后bm表示欢迎广大程序猿继续提交发现漏洞赢得赏金，但是那些制造恐慌传播FUD的提交者将失去获取赏金和认可的资格。

BM对此次事件非常轻描淡写，但笔者认为在EOS主网上线临近前几天，360选择向EOS提交重大漏洞，并没有利用这次漏洞去攻击EOS，引发区块链行业整体灾难性事件，可以说还是非常友好的行为。

此次360安全团队在EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞，是一系列前所未有的安全风险，此前尚未有安全研究人员发现这类问题。这类型的安全问题不仅仅影响EOS，也可能影响其他类型的区块链平台与虚拟货币应用。

周鸿祎表示，“非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞 ，希望他们先修复。这都是有聊天记录截屏的 ，等到EOS修复了，我们再对外发布这个漏洞公告。” 周鸿祎强调，这也是安全圈的行业通行做法，对方不修复，我们不会公告。“至于制造恐慌，如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多。”