周鸿祎对话王峰：无意做空EOS 从没买过虚拟币

周鸿祎对话王峰：无意做空EOS，从没买过虚拟币周鸿祎表示，没有所谓的蓄谋已久，也不是大家想象的恶意做空，“360不是非要进军区块链，而是说，我不服输，在大安全这个新时代里面，我希望能够继续发挥360安全守护者这个作用。”郑洁瑶5月30日，360创始人周鸿祎做客“王峰十问智库群”，就昨日发生的EOS安危安全漏洞话题与王峰展开对话。5月29日午间，360安全卫士官方微博发布消息称，近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。随后，周鸿祎在微博中表示，EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞“价值百亿美元”。5月30日凌晨，EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间。对于漏洞本身，BM称大部分漏洞来源于第三方代码库，而非EOS核心代码；且该漏洞不能改写可执行内存，也不能获得Root权限，除非部署节点时就已经是以Root用户身份来运行。此外，BM还特意指出，对于任何挑起市场恐慌的行为将取消其奖励资格，似乎暗指360制造恐慌。针对BM的回应，周鸿祎在今天和王峰的对话中解释道，360并没有在制造恐慌，也没有要做空EOS的想法。在公布漏洞前，360安全团队已经私下联系了BM，并等到对方确认修复之后才对外公布了漏洞，这也是为什么代码修复的时间早于公布的时间。“如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多，”周鸿祎表示。单纯针对此次事件，周鸿祎认为，漏洞可能会影响到EOS的主网上线进程，且他个人认为EOS应该延迟上线。“我们的安全团队还在持续发现一些EOS的漏洞，当然发现后我们也会第一时间及时的提交给他们，我们的建议是修复之后再上线。”他否认360和EOS有业务上的合作。周鸿祎还称，360团队从2017年年底就开始研究区块链安全，未来会基于区块链安全生态推出三个系统，主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。以下为完整对话内容：王峰：昨天中午360发布EOS高危安全漏洞消息的时候，当时我正好在和联创策源的老大冯波在外面喝咖啡，听到消息心里一震：360对区块链动手了！随即冯波就给周总发了微信，没想到周总很快就回复了。所以，今天我们请来了江湖大佬，人称“红衣主教”的周鸿祎同学做客“王峰十问”，主题是：EOS安全风暴。先让我们看一看他的经历吧。 本科毕业于西安交通大学电信学院计算机系，后被保送西安交大管理学院系统工程系攻读研究生。曾创办 “3721网络实名”，开创中文上网服务之先河，历任雅虎中国总裁等职务；2006年创立360，推出“免费安全”战略，开创了中国互联网的新格局；2011年3月30日，周鸿祎带领奇虎360在美国纽交所上市；今年1月，周鸿祎当选“2017十大经济年度人物”；2月份，360集团在上海证券交易所成功上市。周鸿祎同时也是政协第十三届全国委员会经济委员会委员。下面，开始我们今天的十问吧——直击风暴。第一问，360以PC安全卫士起家，其后一直从事互联网安全应用，我也知道近几年也逐渐布局于企业级安全领域，为什么你的安全触角一下子进入区块链领域。我们团队浏览一遍你最近一年的个人微博，也仅仅有两次与区块链相关，一次是去年“九四监管”前后，一次是昨天转发360安全卫士针对EOS安全漏洞的公告。中间很长一段时间，鲜有提及区块链。在今年春节之后，3点钟微信群火爆区块链期间，你也从未轻易表达过对区块链的看法，可是昨天，通过爆料EOS严重安全漏洞之际，360闪电出击，在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？看起来你是蓄谋已久啊，后面还有大招？周鸿祎：其实也没有谋多久，从年前开始，我自己也在努力学习区块链的东西。 我在3点钟群里没怎么表达看法，是因为确实还没怎么看懂一些东西。 但在安全上我们是专家，所以在17年年底18年年初，实际上我们就已经在关注区块链安全，开始研究区块链技术和相关的安全问题。在这个过程中，我们和业内很多项目也都有过接触沟通和交流的，我们的心态还是比较开放的，我们也希望大家都能够关注安全问题，所以当大家主动来找我们，希望在区块链安全方面有些深入沟通交流，我们也非常愿意为区块链行业提供更安全的解决方案。 后面我们肯定还是会继续深入研究区块链安全问题，也会继续保持开放心态，欢迎大家来交流合作。尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来风险，都会有安全问题。 区块链技术也一样，现在比较火热，我们现在关注的也比较多。我们最近发现了很多区块链系统、交易所系统、钱包系统存在问题。 之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。 最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。没有大家想象的什么蓄谋已久，也没有什么大招，我们的大招就是踏踏实实帮助区块链行业排除风险。我至今也不觉得自己懂区块链，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全，所以我们希望和大家一起交流，让区块链行业更安全。王峰：第二问，在360公布#3498 EOS漏洞之前，EOS的bug已经在Github上提交了3497条，但360出手前鲜有人关注并产生如此之大的影响。实话实说，你如何看待昨天披露安全漏洞的严重程度？为什么称这个漏洞价值百亿美元？为什么360安全卫士在微博上将之称为“史诗级”漏洞？在我过去的理解里，“史诗级”一般来形容丰功伟绩，是对某件事的高度赞扬，哈哈。好一个“史诗级”啊。周鸿祎：我先来解释下这个漏洞被人利用可以用来干什么。 如果漏洞被人利用，可以控制EOS网络里面的每一个节点每一个服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。拿到服