“黑市上，一個漏洞的價值至少上億元�！�

這是EOS官方首次向安全機構發(fā)布賞金致謝。 

北京時間6月2日凌晨，EOS官方就近期出現(xiàn)的一系列高危漏洞做出回應，向發(fā)現(xiàn)漏洞的360公司安全團隊（下稱360）公開致謝，對其中3個漏洞分別給出1萬美元的賞金，同時表示，歡迎安全社區(qū)人員共同努力保證EOS1.0軟件安全性的持續(xù)提高。 

據(jù)公開資料顯示，EOS是被稱為“區(qū)塊鏈3.0”的新型區(qū)塊鏈平臺，目前其代幣市值高達690億人民幣，在全球市值排名第五。目前，EOS還就更多漏洞情況與360進行溝通。 

360董事長周鴻祎日前表示，區(qū)塊鏈作為這兩年新火起來的技術，它遇到的安全威脅屬于新威脅。區(qū)塊鏈行業(yè)，應該與網(wǎng)絡安全行業(yè)，做到協(xié)同開放，共同構建安全生態(tài)。

圖：360累計獲3萬美金致謝 

20s轟癱數(shù)字貨幣體系！

5月29日，360Vulcan（伏爾甘）團隊宣布，發(fā)現(xiàn)了EOS平臺的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節(jié)點。29日凌晨，漏洞公布前，360已第一時間將該類漏洞上報EOS官方，并協(xié)助其修復安全隱患。 

據(jù)此前周鴻祎接受火星財經(jīng)發(fā)起人王峰采訪時表示，由于區(qū)塊鏈網(wǎng)絡去中心化的計算特點，一個區(qū)塊鏈節(jié)點實現(xiàn)上的安全漏洞，可能引發(fā)成千上萬的節(jié)點遭到攻擊。甚至，在傳統(tǒng)軟件漏洞領域被認為相對危害較小的拒絕服務漏洞，在區(qū)塊鏈網(wǎng)絡中則可能引發(fā)整個網(wǎng)絡癱瘓的風暴攻擊，對整個數(shù)字貨幣系統(tǒng)造成巨大沖擊。

這就意味著，360曝光的EOS漏洞如果被人利用，可以控制EOS網(wǎng)絡里面的每一個節(jié)點、每一個服務器，不僅僅是接管網(wǎng)絡里面的虛擬貨幣、各種交易和應用，也可以接管節(jié)點里面所有參與的服務器�？梢哉f，如果有人做一個惡意的智能合約，就能夠把里面所有的數(shù)字貨幣直接拿走。 

EOS漏洞的攻擊可以以秒級的速度在多個節(jié)點和超級節(jié)點之間傳播，從控制節(jié)點到生成新塊繼續(xù)傳播是連續(xù)的、鏈式的爆炸動作，很可能20秒就接管了所有的節(jié)點，完成了操作。 

想象一下，當攻擊者已經(jīng)拿到整個EOS網(wǎng)絡里至高無上的權限，就相當于滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為的。對于區(qū)塊鏈網(wǎng)絡來說，不會有比這個更嚴重的漏洞了。 

安全大腦：“守護者”對抗“野蠻人” 

360此次發(fā)現(xiàn)EOS的重大漏洞，是基于360安全大腦體系。 

據(jù)了解，360安全大腦是360多年技術積累的結晶。其網(wǎng)絡安全空間大數(shù)據(jù)，現(xiàn)在是全球規(guī)模最大的。也因為有這些大數(shù)據(jù)和數(shù)據(jù)中心，360安全大腦的態(tài)勢感知、智能查殺、攻防與溯源，包括應急響應上，現(xiàn)在在全球都非常具備競爭力。 

事實上，360早已關注人工智能和區(qū)塊鏈，他們的共同點是無論是AI的算法，還是區(qū)塊鏈的算法，都是通過寫代碼實現(xiàn)的，而代碼是人寫的，肯定會有漏洞。 

開源軟件中，每千行平均就有6-8個安全漏洞。 

全球正在進入一個大安全時代，因為云計算、大數(shù)據(jù)、人工智能還有物聯(lián)網(wǎng)這些新技術的發(fā)展，網(wǎng)絡安全已然不是最初的信息安全，而是從個人的信息安全、金融安全、家庭安全、出行安全，到企業(yè)安全，再到社會的公共安全，再到國家的信息基礎設施安全、政治安全、軍事安全。 

周鴻祎此前亦表示，在大安全新時代，希望能夠繼續(xù)發(fā)揮360安全守護者這個作用。區(qū)塊鏈應用以后有可能深入生活、生產(chǎn)的多個方面，360作為國內最大的安全公司，當然希望充當一個“守護者”的角色，為區(qū)塊鏈應用保駕護航。 

這群黑客上億人民幣都不要！ 

此前，也有業(yè)內人士表示質疑，價值百億美金的漏洞，獎金只有3萬美金，是不是少了點？但對于安全研究者來說，他們對于漏洞經(jīng)濟價值的態(tài)度是：不感興趣！ 

今年年初，谷歌、微軟、蘋果等巨頭公布了2017年漏洞致謝榜，根據(jù)國外漏洞軍火商 ZERODIUM 發(fā)布的2017年漏洞“牌價”表來看，安全研究者2017年給互聯(lián)網(wǎng)三巨頭報告的漏洞，放在黑市上，價值最低也有2000萬美元，折合人民幣上億！一個Chrome漏洞價格最高在15萬美元左右，iOS漏洞的價格最高竟然可達150萬美元。

但在安全從業(yè)者眼里，把漏洞提交廠商修復來保護用戶安全，遠比賣給網(wǎng)絡軍火商進行惡意攻擊更有價值，盡管這些漏洞大多只能獲得廠商免費的感謝。谷歌和微軟也為部分漏洞設立了獎金鼓勵，但價格和黑市上的差距卻天壤之別！ 

近幾年，360蟬聯(lián)漏洞報告榜單首位。2016年，向各大廠商提交408枚漏洞，創(chuàng)世界紀錄排名榜首；2017年全年，360提交的漏洞增至519枚，再次刷新紀錄。這些漏洞能換取的利益，遠遠不如讓產(chǎn)品變得更安全，或者得到致謝來得有意義。