文/ 常明星 来源/ PANews
360公布区块链项目EOS安全漏洞问题成为行业焦点,5月29日,360创始人周鸿祎参加“王峰十问”,不仅回应了此次事情的真实经过,还揭秘了360的安全大脑和360在区块链领域的布局。
“BM的回应有点让人混乱。非常明确地说我们先私下联系BM通知了他们EOS漏洞希望他们先修复这都是有聊天记录截屏的等EOS修复了我们再对外发布这个漏洞公告今天我们也还在和对方继续保持沟通,对方对我们表示感谢,也表示会给我们发放漏洞奖金,和对外发致谢。”周鸿祎率先回应了关于EOS在360发现前已经修复漏洞的质疑。
5月29日中午,360发微博表示其公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。
随后,360创始人周鸿祎也转发该微博表示,360安全大脑发现的区块链漏洞,价值超过“百亿美金”。如果被非法利用,可以远程攻击控制和接管EOS上运行的所有节点。严重情况下,EOS乃至整个虚拟货币市场都会遭遇滑铁卢。
今日凌晨(5月30日),EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。BM的回应,暗指360制造恐慌。
360“火与工匠之神”团队一战成名
此次EOS系统漏洞事件不仅让行业的注意力都聚焦在360上,更让其安全攻防研究团队Vulcan一战成名。Vulcan(伏尔甘),是罗马神话中的火与工匠之神,罗马十二主神之一。
周鸿祎介绍到,360 Vulcan团队在网络安全行业内的知名度颇高,是最早期的360安全卫士的攻防研究团队。“有一年他们要参加Pwn2Own,这是个比较厉害的世界黑客大赛,要参加这种大赛,所以他们组了一个小组,就是Vulcan团队。在Pwn2own 黑客大赛上,Vulcan团队连续多年斩获了十几项冠军,在Pwn2own 2017上更是拿到了世界总冠军。其中在2015年组队参加Pwn2Own的时候,当时用了17秒攻破了微软的IE11,是历史上首支成功攻破IE的亚洲团队。”
揭秘360安全大脑和区块链布局
周鸿祎在采访中多次提到360安全大脑,“从名字上大家就能看出来一点,大脑,肯定要能学习、还能做运算做决策的。所以简单说,360安全大脑,是一个具有感知能力、学习能力、推理能力、预测能力和决策能力的综合性智能系统。这次EOS漏洞的发掘,其实就是结合360安全大脑和安全专家的能力。”
“安全大脑是人工智能基于大数据的分析判断,加上我们的富有经验的安全专家的人脑,构成了真正的安全超脑。”周鸿祎称。
他举例到,“2016年美国曾遭遇过一次大断网事件,这个事情后来查出来是黑客利用安防智能摄像头搞了一次DDoS攻击,360被邀请参与了事件的紧急处置,最后还受到了FBI的致谢。
“360安全大脑在这中间做了什么呢,其实这个事情发生之前,我们就在安全社区,我们圈子里做了预警,我们是最早做过预警的,就是我们的360安全大脑,发现了有针对安防智能摄像头的异常访问流量。”
谈及此事影响,周鸿祎说道:“在区块链领域里面,真正的安全问题还没有露出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。”
谈到360在区块链行业的机会,周鸿祎表示,360现在涉足区块链肯定还是围绕着安全。“安全问题不是说这次我们披露了,大家热闹一天就完了。我希望大家记住,EOS这个漏洞,不是最后一个,也一定不是最厉害的一个。未来区块链行业一定会出现更多的安全问题,之前传统互联网领域里面遇到的安全问题,区块链行业里面一定也会遇到。”
他还补充道:“过去这段时间,区块链方面,我们的安全团队还是很用心的研究了很多,也拿了一些方案。我们未来会基于区块链安全生态推出三个系统,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。”
PANews了解到,在5月25日中国计算机学会主办的青年精英论坛上,360集团首次发布了区块链安全态势感知系统。该系统对私自挖矿、异常转账、钓鱼诈骗、非法交易等进行预警并追踪溯源。其包含四大核心监控功能:异常区块监控、异常交易监控、异常地址监控以及智能合约监控。监控针对51%算力攻击,自私挖矿,智能合约漏洞、黑灰地址关联、智能合约攻击等区块链攻击事件监控预警。
“搞安全需要耐得住寂寞。”周鸿祎说,自己更像是守护着,是站在各个行业背后的人。并表示,认为自己是在做一些非常有价值的事情,为自己感到骄傲。