旗下平台: 媒体+ 驱动号 阿里汽车 非常在线 众创网

周鸿祎回应披露“史诗级”EOS漏洞,严格遵守行业规则

  • 来源: 驱动中国 文:王博 2018-05-30/14:52 访问量:
  • 驱动中国2018年5月30日消息  近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,并于29日披露已该类漏洞上报EOS官方,并协助其修复安全隐患。至此,EOS安全漏洞成区块链行业最大的安全话题。但对于这一漏洞,EOS创始人BM于今日凌晨在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。BM的回应,暗指360制造恐慌?

    QQ截图20180530144502

    今天,火星财经发起人王峰开展 “王峰十问周鸿祎”,看红衣教主周鸿祎如何为我们揭开其间的真相?

    对于360披露EOS漏洞一事,周鸿祎进行了说明。最近EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。对于本次漏洞披露,我们没有立场,是中立,我们提出任何一个系统的漏洞,都是为了帮助这个系统改善安全性。

    周鸿祎表示,非常明确地说,我们先私下联系了BM,通知了他们eos漏洞,希望他们先修复,这都是有聊天记录截屏的,等到eos修复了,我们再对外发布这个漏洞公告。我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。

    微信图片_20180530134729

    对于披露漏洞规则,周鸿祎表示,这个不仅仅是对EOS,对微软谷歌苹果都是一样的,对于安全漏洞披露,通常的步奏就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报,比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方,再然后就是对方修复,等对方确认修复之后,我们才会对外公布。

    而之所以将此次漏洞成为“史诗级”,是由于EOS在区块链发展史上的重要性。倘若这个漏洞没有提出来,EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,后果不堪设想。EOS现在估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张,“史诗级”是来形容比较重大的安全漏洞。

    周鸿祎坦诚,其实早在2017年年底到2018年年初,360就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。360以开放的心态面对区块链行业的安全问题,后续还将会继续深入研究区块链安全问题,为区块链行业提供更安全的解决方案。

    谈及当下的区块链、数字货币的安全性时,周鸿祎表示,尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度,都会带来bug和漏洞,bug和漏洞被人利用,就会带来风险,就会有安全问题, 区块链技术也一样。

    然而,此次EOS回应称360制造恐慌,360坚称严格遵守披露规则,EOS这又意在何为呢?而360未来将在区块链行业安全方面将会有那些大的动作,我们将持续关注。


    赞(0)

    AD推荐