周鸿祎对话王峰：无意做空EOS 从没买过虚拟币

务器权限，就可以为所欲为了。 如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。 所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。再说“史诗级”，EOS在区块链发展史上的重要性大家肯定知道，如果说，这个漏洞我们没有提出来，EOS没有修复，等到EOS主网上线了，被恶意的黑客发现并利用了，那时候EOS会不会一夜之间就被搞掉了，我们都不好说。 EOS现在的估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张。 另外就是这个其实是我们安全圈内部的说法，是半个舶来语。“史诗级”是从“Epic”翻译过来的，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。当然我从公关的角度来看，史诗级这个词大家理解不一样，太文艺青年了，所以说成百亿美金的漏洞，大家会不会觉得更接地气一点。因为很多标题党，吓尿了、吓哭了、吓软了、崩溃了……都被滥用了，所以用了个史诗级，其实说百亿美金级别最好了。王峰：第三问，今天凌晨，EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题，称360报告中提到的漏洞早已被EOS修复，且早于360发布报告的时间。对于漏洞本身，BM称大部分漏洞是来源于第三方代码库而非EOS核心代码；且该漏洞并不能改写可执行内存，且不能获得Root权限，除非部署节点时就已经是以Root用户身份来运行。BM的回应，暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？ 说实话，我觉得BM很厉害，他反击的时候，我和我们火星财经旗下的EOS Galaxy的负责人许波正在看到了他直接在电报群的回复，他的迅速回应减轻了大众对EOS安全隐患的恐慌感，反而让更多人猜测是360精心策划的安全炒作。鸿祎，这个问题，我希望你能更直接给予回复。周鸿祎：没问题，慢慢来，让子弹先飞一会。你说的消息其实已经不是最新的，最新的嘛，慢慢说。王峰：我们团队内有EOS Galaxy的BP（超级节点）竞选项目，所以内部技术团队也非常关心。周鸿祎：对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。 因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步奏就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。他提到的这个root权限，root权限是指计算机系统里面的最高权限。 是否获得root权限，不影响攻击者控制EOS节点，没有root权限也是一样的。 如果用户使用root权限运行eos，那么攻击者就可以获取root权限。BM的回应有点让人混乱，看起来以为是，我们报告前，他们已经修复了，其实是我们遵循了负责任的行业标准流程，报告->修复->公开。非常明确地说，我们先私下联系了BM，通知了他们eos漏洞，希望他们先修复，这都是有聊天记录截屏的。等到eos修复了，我们再对外发布这个漏洞公告。今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢……这也是安全圈的行业通行做法，对方不修复，我们不会公告。 这事我们一直在BM单独沟通，他在Telegram上的留言的截图是昨天晚上的，比较断章取义。 实际上那个留言之后，他很快回复说，漏洞是真实存在有效的。 但是就被截了一点儿。至于制造恐慌，如果说我们要制造恐慌，直接在主网上线时放出这个，恐慌效果一定比现在要好的多。我再强调一遍，我们提交的漏洞，EOS官方是确认真实有效的，并且我们在和EOS官方及BM一直在沟通关于漏洞提交和定性的事情，而且，今天早上在和BM沟通时，他们依然是非常认同我们的成果和技术实力的。在这整个过程中，360都是非常负责任地严格遵循安全行业的安全漏洞披露原则的。 我们做为国内最大的一家安全厂商，在全球也是排名前三的安全厂商，我们希望和全球同行和科技公司一起，解决网络安全问题，降低网络安全问题给用户带去的损害。 帮助大家发现漏洞、修补漏洞，让大家提供安全放心的产品给用户，是我们共同的责任。 区块链作为新兴的技术方向，我们参与进来，无论是这次披露EOS漏洞，还是之前和其他区块链机构的沟通，都是希望和大家一起共同构建安全放心的区块链产品和服务。王峰：今年的区块链最大的话题就是EOS，现在很多人都担心 EOS会延期发布公网版本，这个安全隐患被曝光后，更多人关心他们的发布时间。以360安全技术团队评估，EOS Dawn 4.0的公网版本是否有可能推迟发布？周鸿祎：我认为应该延迟上线的，我们的安全团队还在发现一些EOS的漏洞，我们也会第一时间及时的提交给他们，我们建议修复之后再上线。王峰：第四问，此次发布EOS漏洞事件，让Vulcan（伏尔甘）团队一战成名，可是此前行业内很少有关于他们的消息，大家对他们依旧很陌生，能否向我们具体介绍下他们？我们注意到，你最近不断提及360安全大脑，能一并介绍下吗？在这个事情上，你们安全大脑团队跟BM团队是通过telegram直接交流的，你们实质接触是从什么时候开始的？坊间说，你们和EOS很快有合作要公布，你方便在这里透露吗？周鸿祎：你们说的行业内，肯定不是安全圈子里面。 360 Vulcan团队在安全圈子里，大家应该多多少少都知道。Vulcan最早是我们360安全卫士的攻防研究团队，有一年他们要参加Pwn2Own，这是个比较厉害的世界黑客大赛，要参加这种大赛，所以他们组了一个小组，就是Vulcan团队。他们在攻防研究、挖掘厂商漏洞和帮助厂商修复漏洞上实力很强的。 上面那张照片，应该是他们2015年组队去参加Pwn2Own 2015获奖的，当时用了17秒攻破了微软的IE11，是历史上首支成功攻破IE的亚洲团队。 Pwn2own 黑客大赛上，Vulcan团队连续多年斩获了十几项冠军，在Pwn2own 2017上更是拿到了世界总冠军。所以圈子内部，对他们是绝对不陌生的。最近的安全大脑是这样的，从名字上大家就能看出来一点，大脑，肯定要能学习、还能做运算做决策的