前阿里云风控反欺诈负责人：周鸿祎夸大了EOS安全漏洞的威胁

起于玉红放言“空气币”，爆于360公布“史诗级漏洞”，EOS陷入的这场舆论风暴很难让人不“阴谋论”，毕竟距离6月2日其主网上线没几天了。

EOS此次被爆出的安全漏洞究竟是否如周鸿祎所言，黑客可以为所欲为？曲速未来创始人&CEO侯欣杰在接受节点财经专访时给出的答案是：没那么夸张。

侯欣杰于2007年加入阿里集团安全中心成为第4号员工，也是阿里云创始成员；他设计了阿里集团第一套白盒代码审计系统，并曾多年担任阿里云计算安全风控反欺诈技术负责人——该安全体系承载着每年天猫双11活动的数百亿访问风控安全对抗。

我们先来回顾此次“EOS漏洞”事件始末。（了解的可自行跳过）

5月25日，360发布区块链安全态势感知系统，正式涉足区块链安全领域，并连续发布多条加密货币钱包、区块链项目漏洞，以及钓鱼与空投骗术的信息。

5月28日，3点钟社群发起人玉红在2018中国国际大数据产业博览会上表示：EOS是全球最大的的空气币和传销币。

5月29日，360称其Vulcan（伏尔甘）团队发现了EOS一系列高危安全漏洞，其中部分漏洞可在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。当天，360董事长周鸿祎微博表示，他们发现的EOS漏洞价值超“百亿美金”。

5月30日，BM在EOS开发者电报群中表示，bug在被公布前就已修复，但（被360）过度夸大。当天，周鸿祎答王峰十问，称EOS漏洞为史诗级漏洞，“于区块链网络来说，不会有比这个更严重的漏洞了”。

是玉红给自己发起孵化的XMX吸粉，还是360为自家的区块链安全业务造势？是周鸿祎违背道义还是BM人品恶劣？各路人士众说纷纭。

DFUND创始人赵东在朋友圈直言不讳：不管360什么目的（我们不要怀疑别人做事的动机），我至少确定一点：根据gitHub代码提交时间可知，BUG修复在360向BM汇报BUG之后而非之前。BM在睁着眼睛说瞎话，人品极其不可靠。

侯欣杰则认为，黑客要想利用该漏洞盗取EOS，在实操层面并没有周鸿祎所说的那么容易。

EOS存在“史诗级漏洞”会被全部盗走？

侯欣杰：没那么夸张

在昨日答王峰十问时，周鸿祎解释了360所爆EOS的安全漏洞到底有多严重：如果漏洞被人利用，（黑客）可以控制EOS网络里面的每一个节点每一个服务器，那就不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。（黑客）拿到服务器权限，就可以为所欲为了。如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说，不会有比这个更严重的漏洞了。

在侯欣杰看来，这的确是个安全漏洞，但其实没有周鸿祎所说的“史诗级”那么严重：黑客想要通过此次爆料的漏洞获取用户数字货币，起码在EOS启动回滚之前，没有足够时间完成操作。

“首先，EOS有21个节点与若干备选节点，而要发生周鸿祎所说的后果，（黑客）首先需要提交一个攻击合约，然后让其中一个节点运行这个合约，只有在节点运行这个合约的时候才能被攻击，也就是说每次攻击只能控制1个节点。这意味着，要盗走数字货币，必须让所有节点全部运行这个攻击合约，而现实往往会这一次攻击时可能是A节点运行该攻击合约，被控制了，下一次该节点可能就变成备选了，那对应的这次攻击也就无效了，而且还要保障在此期间不被发现。要知道，合约和区块数据都是公开的，仅在众目睽睽之下攻击别人不被发现这一点就极其难实现。此前BEC合约出现安全漏洞，在短短20分钟内就被归零了，就是因为被发现了。

其次，并不是控制了所有的节点就能为所欲为，因为节点只负责产生区块，而维护区块链安全运行是由整个网络完成的，也就是说如果出现一个不合法的区块想要欺骗整个区块链网络，几乎不可能；目前区块的数据都是基于hash和数字签名的方式，控制了节点不代表就能修改里面的数据，包括给自己增加coin，偷别人的coin等等操作，因为要偷别人钱包里面的钱得必须要有钥匙，节点是没有钥匙的。

第三，假如前面所有攻击都顺利完成了，攻击者通过此漏洞给自己钱包增加了EOS，但是他需要通过交易所来实现快速套现。攻击者必须先把自己的EOS从钱包转入交易所，通过交易所的交易来转移资产，而交易所本身对风险交易是有风控的（曲速未来已与多家知名交易所逐步展开合作中），超大额交易是会被监控的。比如币安之前的问题，就是攻击者操控了多个账户做恶意交易，也就是说前提是攻击者需要准备足够多的小号。曲速未来会与交易所合作提供同人同机识别服务，能够检测出恶意交易。在恶意交易完成之前，交易所有能力冻结风险账户，包括提币提现操作，回滚交易等等都足以让攻击无效，BEC就是很好的例子。

简单来说，想要利用此次漏洞盗取EOS，要绕过以上制约而且必须要在20分钟乃至更短时间内完成以上所有操作。”

如何看待360官方公开EOS安全漏洞？

侯欣杰：EOS可以送一封律师函

“大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。假如我真想恶意做空的话，完全可以捂着，等EOS主网上线，直接爆出来……”周鸿祎认为，360此次做法只是因为“希望EOS乃至整个区块链行业发展的更好”。

听起来没毛病。不过侯欣杰不以为然。

“首先，他们一定是有借势的意图，当然这完全可以理解。除此之外，在我们安全行业，给其它企业提交安全漏洞确实是好事，但不代表只要跟企业通知了对方，不等对方同意就可以擅自发表官方通告了。此次360只是说‘通知了EOS方’，但是并没有向BM提及会在官方发布漏洞公告并获取对方同意，这是其一；

其次，在EOS尚未完全修复该漏洞时就将安全漏洞对外大肆宣扬，此举有打着为行业安全做贡献的名头给EOS增加困扰，提升自己知名度的嫌疑。若换成被爆漏洞一方是银行或支付宝，不等对方修复就公布，难道是想让更多的不法分子攻击他们，导致更大的损失？

再次，就算是在漏洞修复完成之后公开，对方是否愿意公开，如何公开，公开哪些内容其实都是需要做更深入的沟通确认的，而不是先斩后奏，这属于职业操守与职业道德范畴。

我个人认为， EOS完全可以给360一封律师函。”

有智能合约主链都会受到类似威胁？

侯欣杰：需逐步完善，不该一棍子打死

混圈的人都知道，不只是EOS，之前以太坊也有过几次严重的安全事件：2016年6月17日，众筹项目TheDAO遭到攻击，致300多万以太币资产被分离出资产池；2017年7月21日，智能合约编码公司Parity有 15万以太币被盗；此前BEC被巨量增发抛售清零。

以EOS与以太坊如此之大的体量竟漏洞频发，是不是证明凡是有智能合约的主链都会受到类似EOS的安全威胁？

“一方面，智能合约层面的安全问题跟主链本身没有直接关系，而且会存在优胜劣汰的竞争法则，只有技术强大的才会留下来。”侯欣杰认为，“另一方面，与以太坊和EOS比起来，比特币更安全其实是因为它的功能非常简单，就是记账，说以前两者的安全问题更多，是因为功能更多，自然坑就越大，这需要一个逐步完善的过程，不应该一棍子打死。”

区块链安全呈现怎样的生态格局？

侯欣杰：未来会分为主链、应用、业务三大层面

正如周鸿祎所说，如今的网络安全正从最初简单的信息安全，演变成线上线下都会受到网络攻击的威胁，并且新威胁越来越多，比如区块链正面临的安全威胁。

区块链的火热正带动与之密切相关的新的生态格局逐步形成。侯欣杰认为，接下来区块链安全将分为三个层面：

首先是为做主链（无论公链还是联盟链）的团队，在主机、网络、激励机制等方面提供安全服务的企业。随着区块链相关技术的不断发展，过去传统的安全产品或服务可能会被淘汰，比如防火墙，“可能卖给银行，现在它不可能卖给每个矿工”。

其次是针对链上的具体应用提供安全服务的企业。当主链可以跑王者荣耀之类的游戏，区块链势必呈现出新的格局，而随着应用功能的日益丰富，安全问题也会越来越多。

第三个层面是基于区块链业务层面的安全服务商。比如现在项目方会在社群中发放糖果，可能会牵扯到反作弊、防欺诈、内容的安全需求。

以上就是金山云为您带来的前阿里云风控反欺诈负责人：周鸿祎夸大了EOS安全漏洞的威胁的相关内容，如果您还想了解更多阿里云,反欺诈,周鸿祎,EOS,安全漏洞,前阿里云风控反欺诈负责人：周鸿祎夸大了EOS安全漏洞的威胁的相关问题您可以点击页面中的链接进行具体了解。金山云提供云服务器，云主机，云存储，私有云，数据库，物理主机，RDS，KS3，SLB，KEC的全套产品服务，部分产品可以免费体验，而且会有定期的优惠、代金券等相关的活动。成立7年来，金山云始终坚持以客户为中心的服务理念，提供安全、可靠、稳定、高品质的云计算服务。以上是对前阿里云风控反欺诈负责人：周鸿祎夸大了EOS安全漏洞的威胁相关介绍，如果觉得对您有帮助可以收藏。欢迎随时查看。