周鸿祎回应披露“史诗级”EOS漏洞，严格遵守行业规则

• 周鸿祎
• EOS
• 区块链

驱动中国2018年5月30日消息  近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞，并于29日披露已该类漏洞上报EOS官方，并协助其修复安全隐患。至此，EOS安全漏洞成区块链行业最大的安全话题。但对于这一漏洞，EOS创始人BM于今日凌晨在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间。BM的回应，暗指360制造恐慌？

今天，火星财经发起人王峰开展 “王峰十问周鸿祎”，看红衣教主周鸿祎如何为我们揭开其间的真相？

对于360披露EOS漏洞一事，周鸿祎进行了说明。最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。对于本次漏洞披露，我们没有立场，是中立，我们提出任何一个系统的漏洞，都是为了帮助这个系统改善安全性。

周鸿祎表示，非常明确地说，我们先私下联系了BM，通知了他们eos漏洞，希望他们先修复，这都是有聊天记录截屏的，等到eos修复了，我们再对外发布这个漏洞公告。我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。

对于披露漏洞规则，周鸿祎表示，这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞披露，通常的步奏就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。

而之所以将此次漏洞成为“史诗级”，是由于EOS在区块链发展史上的重要性。倘若这个漏洞没有提出来，EOS没有修复，等到EOS主网上线了，被恶意的黑客发现并利用了，后果不堪设想。EOS现在估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张，“史诗级”是来形容比较重大的安全漏洞。

周鸿祎坦诚，其实早在2017年年底到2018年年初，360就已经在关注区块链安全，开始研究区块链技术和相关的安全问题。360以开放的心态面对区块链行业的安全问题，后续还将会继续深入研究区块链安全问题，为区块链行业提供更安全的解决方案。

谈及当下的区块链、数字货币的安全性时，周鸿祎表示，尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来bug和漏洞，bug和漏洞被人利用，就会带来风险，就会有安全问题， 区块链技术也一样。

然而，此次EOS回应称360制造恐慌，360坚称严格遵守披露规则，EOS这又意在何为呢？而360未来将在区块链行业安全方面将会有那些大的动作，我们将持续关注。