360安全衛(wèi)士于2018年5月29日下午在微博上發(fā)布公告稱，360Vulcan（伏爾甘）團隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節(jié)點。一石激起千層浪，這個消息在網上立馬引起了軒然大波。

與此同時，《中國經營報》記者注意到之前360公司對區(qū)塊鏈興趣并不大，是什么促使其對區(qū)塊鏈大為改觀，積極入局呢？

致命漏洞事件全回放

“我們從今年年初開始，就已經關注和研究區(qū)塊鏈安全問題了，這次EOS的漏洞，Vulcan（伏爾甘）團隊在5月初就發(fā)現(xiàn)了。之后半個月里，團隊繼續(xù)研究了漏洞會被如何利用。在28日晚上，Vulcan（伏爾甘）團隊把完整利用漏洞的演示視頻，還有漏洞相關代碼細節(jié)提交給了EOS團隊，并在29日凌晨協(xié)助EOS團隊進行了修復。“360公司Vulcan（伏爾甘）團隊負責人、360助理總裁、首席安全工程師鄭文彬在接受《中國經營報》記者采訪時解釋了此次發(fā)現(xiàn)漏洞的具體細節(jié)。

據(jù)鄭文彬介紹，這次EOS的漏洞屬于緩沖區(qū)溢出的漏洞。在64位系統(tǒng)里面，想要進行遠程攻擊的難度實際上比較大，因為之前，EOS為了加快合約執(zhí)行速度引入了wasm虛擬機，這樣可以幫助EOS的TPS（每秒提交交易數(shù)量）相比其他區(qū)塊鏈平臺要高得多，但與此同時，其實是犧牲了一定的安全性，這個wasm虛擬機能讓攻擊者更容易實現(xiàn)遠程執(zhí)行代碼。“這次發(fā)現(xiàn)的漏洞修復起來不太復雜，在我們給EOS團隊提交之后，已經配合他們完成了修復。

在最近瘋魔區(qū)塊鏈行業(yè)的EOS主網6月1日上線前夕，傳出了如此重大的高危漏洞。比起是否會對區(qū)塊鏈行業(yè)造成沖擊，區(qū)塊鏈的安全性問題變得更加發(fā)人深思。

鄭文彬告訴記者，區(qū)塊鏈技術和其他互聯(lián)網技術一樣，都是基于軟件，是通過代碼寫程序來實現(xiàn)功能的。只要是編程的東西，一定會存在各式各樣的漏洞，所以不僅僅是EOS，其他區(qū)塊鏈產品和服務，也都可能存在各種安全隱患。今天發(fā)現(xiàn)的是EOS漏洞，但實際上他們也發(fā)現(xiàn)過很多其他的，比如錢包、礦池甚至智能合約都存在嚴重的安全漏洞。

值得注意的是，昨日360在微博發(fā)布的重大漏洞公告中提及攻擊者有可能可以利用此次EOS漏洞致使網絡中的節(jié)點變?yōu)榻┦W絡中的一員，從而發(fā)動網絡攻擊。鄭文彬告訴記者，如果利用此次漏洞去發(fā)起攻擊，不僅僅是上述提到的51%，甚至于控制EOS所有節(jié)點也并非不可能。“不管是利用來作為僵尸網絡的一員還是做其他事情，都是可以的。”

對于公眾關心的EOS主網上線是否會因此延期，鄭文彬表示，“我們在主網上線之前發(fā)現(xiàn)漏洞，并通報給EOS官方團隊，并幫助他們修復漏洞，這肯定是有益于EOS的長期發(fā)展的。至于對EOS主網上線的影響以及是否延期，這個我們不好判斷。”

“區(qū)塊鏈方向之前也出現(xiàn)過很多次安全問題帶來的負面事件，但我相信這次漏洞事件，能夠引起區(qū)塊鏈業(yè)界和同行們真正重視區(qū)塊鏈安全問題。“鄭文彬這樣說道。

360早先對區(qū)塊鏈并不感冒

2018年1月17日，360董事長周鴻祎出席中國金融博物館書院讀書分享會時，被問到對于區(qū)塊鏈的看法時，他曾坦言目前他本人對區(qū)塊鏈的布局還沒有具體想法，他對區(qū)塊鏈對于實際應用的意義是否如很多人所吹捧狂熱的那么重要，也持謹慎的態(tài)度。

但是1月19日下午，360公司就宣布推出全球首家基于區(qū)塊鏈的安全共享云平臺——共享云計劃。

2月14日，360推出了基于區(qū)塊鏈技術下的虛擬貓。外界評論此次發(fā)布的區(qū)塊貓是360在區(qū)塊技術上的一次“試水”產生的“副產品”。

3月2日，作為全國政協(xié)委員出席兩會發(fā)布會上的周鴻祎在接受采訪時也表示，目前為止尚未看到非用區(qū)塊鏈不可的場景，區(qū)塊鏈中唯一剛需就是比特幣。并且比特幣即使具有賬本不可篡改的特性，也會面臨網絡攻擊的問題，比如當有人控制了51%的算力進行攻擊，還有如今的加密算法將來面對量子計算的問題，萬一哈希算法被破解，那么區(qū)塊鏈將面臨的安全風險不可忽視。

但到了近期，360公司對區(qū)塊鏈顯示出了前所未有的熱情。

5月25日，360首次發(fā)布針對區(qū)塊鏈領域的安全解決方案。該方案基于360的安全大數(shù)據(jù)，結合360安全大腦，涵蓋了錢包、交易所、礦池、智能合約四大領域。在錢包領域，Dbank為360首家戰(zhàn)略合作方，360安全團隊則為Dbank提供核心安全技術。

5月29日曝出幣安將與360達成安全方面的深度合作，360將為幣安提供一系列智能合約項目的代碼審計，且在項目方代碼升級后持續(xù)提供安全審計服務。同時，360安全團隊也將向幣安提供長期的安全檢測服務。

同樣是5月29日，北京歐鏈科技有限公司（OracleChain）宣布，已經與北京奇虎科技有限公司（360）達成戰(zhàn)略合作，雙方將共同攜手，就區(qū)塊鏈底層技術、區(qū)塊鏈安全服務、區(qū)塊鏈預言機服務以及區(qū)塊鏈應用等領域開展深入合作。

近期數(shù)字幣面臨多事之秋、風雨飄搖，外界爭論不休，又遭曝光了致命漏洞。

為何360公司恰恰選擇此刻開始大舉進軍區(qū)塊鏈呢？

“區(qū)塊鏈的應用不只是虛擬幣，會有更多的應用場景，證券、支付、游戲甚至隱私保護等等方面，都可能會誕生很多區(qū)塊鏈應用案例。360是做安全的，區(qū)塊鏈作為最新的互聯(lián)網技術，其安全性問題非常值得我們關注和研究。”360安全團隊負責人鄭文彬向記者這樣解釋道，“作為安全公司，360通過給區(qū)塊鏈行業(yè)提供安全解決方案及安全服務，讓區(qū)塊鏈應用能更加安全快速地發(fā)展。針對區(qū)塊鏈嚴峻的安全形勢，360公司基于360安全大腦，利用360大腦在網絡安全感知、監(jiān)測、分析及決策方面的能力，特別布局了一整套區(qū)塊鏈安全生態(tài)，主要包括數(shù)字貨幣錢包安全審計系統(tǒng)、區(qū)塊鏈安全態(tài)勢感知系統(tǒng)和區(qū)塊鏈節(jié)點安全解決方案三大系統(tǒng)。”

鄭文彬表示：“360作為安全公司，對于區(qū)塊鏈等新領域面臨的安全威脅，會持續(xù)從攻防兩方面投入安全研究。360從今年年初開始就已經投入研究區(qū)塊鏈安全，5月中旬我們剛剛發(fā)布了360安全大腦，我們會將360安全大腦在網絡安全允許狀況感知、監(jiān)測、分析以及決策能力與區(qū)塊鏈安全進行結合，提供一系列區(qū)塊鏈安全解決方案。”

面對記者問及360是否會推出360虛擬貨幣安全錢包，鄭文彬表示，360安全團隊會持續(xù)關注數(shù)字加密資產的安全性問題，其實在此之前，360公司對全球20多款錢包進行了安全審計，發(fā)現(xiàn)80%都存在安全問題，最近360也為此發(fā)布了錢包安全白皮書，提出了錢包安全標準，幫助錢包開發(fā)者改善安全狀況。