“黑市上，一個(gè)漏洞的價(jià)值至少上億元。”

這是EOS官方首次向安全機(jī)構(gòu)發(fā)布賞金致謝。 

北京時(shí)間6月2日凌晨，EOS官方就近期出現(xiàn)的一系列高危漏洞做出回應(yīng)，向發(fā)現(xiàn)漏洞的360公司安全團(tuán)隊(duì)（下稱360）公開致謝，對(duì)其中3個(gè)漏洞分別給出1萬美元的賞金，同時(shí)表示，歡迎安全社區(qū)人員共同努力保證EOS1.0軟件安全性的持續(xù)提高。 

據(jù)公開資料顯示，EOS是被稱為“區(qū)塊鏈3.0”的新型區(qū)塊鏈平臺(tái)，目前其代幣市值高達(dá)690億人民幣，在全球市值排名第五。目前，EOS還就更多漏洞情況與360進(jìn)行溝通。 

360董事長周鴻祎日前表示，區(qū)塊鏈作為這兩年新火起來的技術(shù)，它遇到的安全威脅屬于新威脅。區(qū)塊鏈行業(yè)，應(yīng)該與網(wǎng)絡(luò)安全行業(yè)，做到協(xié)同開放，共同構(gòu)建安全生態(tài)。

圖：360累計(jì)獲3萬美金致謝 

20s轟癱數(shù)字貨幣體系！

5月29日，360Vulcan（伏爾甘）團(tuán)隊(duì)宣布，發(fā)現(xiàn)了EOS平臺(tái)的一系列高危安全漏洞。經(jīng)驗(yàn)證，其中部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。29日凌晨，漏洞公布前，360已第一時(shí)間將該類漏洞上報(bào)EOS官方，并協(xié)助其修復(fù)安全隱患。 

據(jù)此前周鴻祎接受火星財(cái)經(jīng)發(fā)起人王峰采訪時(shí)表示，由于區(qū)塊鏈網(wǎng)絡(luò)去中心化的計(jì)算特點(diǎn)，一個(gè)區(qū)塊鏈節(jié)點(diǎn)實(shí)現(xiàn)上的安全漏洞，可能引發(fā)成千上萬的節(jié)點(diǎn)遭到攻擊。甚至，在傳統(tǒng)軟件漏洞領(lǐng)域被認(rèn)為相對(duì)危害較小的拒絕服務(wù)漏洞，在區(qū)塊鏈網(wǎng)絡(luò)中則可能引發(fā)整個(gè)網(wǎng)絡(luò)癱瘓的風(fēng)暴攻擊，對(duì)整個(gè)數(shù)字貨幣系統(tǒng)造成巨大沖擊。

這就意味著，360曝光的EOS漏洞如果被人利用，可以控制EOS網(wǎng)絡(luò)里面的每一個(gè)節(jié)點(diǎn)、每一個(gè)服務(wù)器，不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點(diǎn)里面所有參與的服務(wù)器�？梢哉f，如果有人做一個(gè)惡意的智能合約，就能夠把里面所有的數(shù)字貨幣直接拿走。 

EOS漏洞的攻擊可以以秒級(jí)的速度在多個(gè)節(jié)點(diǎn)和超級(jí)節(jié)點(diǎn)之間傳播，從控制節(jié)點(diǎn)到生成新塊繼續(xù)傳播是連續(xù)的、鏈?zhǔn)降谋�炸�?dòng)作，很可能20秒就接管了所有的節(jié)點(diǎn)，完成了操作。 

想象一下，當(dāng)攻擊者已經(jīng)拿到整個(gè)EOS網(wǎng)絡(luò)里至高無上的權(quán)限，就相當(dāng)于滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為的。對(duì)于區(qū)塊鏈網(wǎng)絡(luò)來說，不會(huì)有比這個(gè)更嚴(yán)重的漏洞了。 

安全大腦：“守護(hù)者”對(duì)抗“野蠻人” 

360此次發(fā)現(xiàn)EOS的重大漏洞，是基于360安全大腦體系。 

據(jù)了解，360安全大腦是360多年技術(shù)積累的結(jié)晶。其網(wǎng)絡(luò)安全空間大數(shù)據(jù)，現(xiàn)在是全球規(guī)模最大的。也因?yàn)橛羞@些大數(shù)據(jù)和數(shù)據(jù)中心，360安全大腦的態(tài)勢感知、智能查殺、攻防與溯源，包括應(yīng)急響應(yīng)上，現(xiàn)在在全球都非常具備競爭力。 

事實(shí)上，360早已關(guān)注人工智能和區(qū)塊鏈，他們的共同點(diǎn)是無論是AI的算法，還是區(qū)塊鏈的算法，都是通過寫代碼實(shí)現(xiàn)的，而代碼是人寫的，肯定會(huì)有漏洞。 

開源軟件中，每千行平均就有6-8個(gè)安全漏洞。 

全球正在進(jìn)入一個(gè)大安全時(shí)代，因?yàn)樵朴?jì)算、大數(shù)據(jù)、人工智能還有物聯(lián)網(wǎng)這些新技術(shù)的發(fā)展，網(wǎng)絡(luò)安全已然不是最初的信息安全，而是從個(gè)人的信息安全、金融安全、家庭安全、出行安全，到企業(yè)安全，再到社會(huì)的公共安全，再到國家的信息基礎(chǔ)設(shè)施安全、政治安全、軍事安全。 

周鴻祎此前亦表示，在大安全新時(shí)代，希望能夠繼續(xù)發(fā)揮360安全守護(hù)者這個(gè)作用。區(qū)塊鏈應(yīng)用以后有可能深入生活、生產(chǎn)的多個(gè)方面，360作為國內(nèi)最大的安全公司，當(dāng)然希望充當(dāng)一個(gè)“守護(hù)者”的角色，為區(qū)塊鏈應(yīng)用保駕護(hù)航。 

這群黑客上億人民幣都不要！ 

此前，也有業(yè)內(nèi)人士表示質(zhì)疑，價(jià)值百億美金的漏洞，獎(jiǎng)金只有3萬美金，是不是少了點(diǎn)？但對(duì)于安全研究者來說，他們對(duì)于漏洞經(jīng)濟(jì)價(jià)值的態(tài)度是：不感興趣！ 

今年年初，谷歌、微軟、蘋果等巨頭公布了2017年漏洞致謝榜，根據(jù)國外漏洞軍火商 ZERODIUM 發(fā)布的2017年漏洞“牌價(jià)”表來看，安全研究者2017年給互聯(lián)網(wǎng)三巨頭報(bào)告的漏洞，放在黑市上，價(jià)值最低也有2000萬美元，折合人民幣上億！一個(gè)Chrome漏洞價(jià)格最高在15萬美元左右，iOS漏洞的價(jià)格最高竟然可達(dá)150萬美元。

但在安全從業(yè)者眼里，把漏洞提交廠商修復(fù)來保護(hù)用戶安全，遠(yuǎn)比賣給網(wǎng)絡(luò)軍火商進(jìn)行惡意攻擊更有價(jià)值，盡管這些漏洞大多只能獲得廠商免費(fèi)的感謝。谷歌和微軟也為部分漏洞設(shè)立了獎(jiǎng)金鼓勵(lì)，但價(jià)格和黑市上的差距卻天壤之別！ 

近幾年，360蟬聯(lián)漏洞報(bào)告榜單首位。2016年，向各大廠商提交408枚漏洞，創(chuàng)世界紀(jì)錄排名榜首；2017年全年，360提交的漏洞增至519枚，再次刷新紀(jì)錄。這些漏洞能換取的利益，遠(yuǎn)遠(yuǎn)不如讓產(chǎn)品變得更安全，或者得到致謝來得有意義。