360区块链 360发现区块链“灭霸”式攻击 EOS向360发布3万美金致谢

北京时间6月2日凌晨，正式版EOS1.0发布。同时，这位EOS官员回应了最近出现的一系列高风险漏洞，公开感谢360公司安全团队发现漏洞，并对其中三人给予了1万美元的奖励。同时，他表示，欢迎安全界人士共同努力，确保EOS1.0软件安全的持续改进。

这是EOS第一次正式向安全机构发放奖励。

EOS是一个新的区块链平台，叫做“区块链3.0”。目前，其代币市值高达690亿元人民币，在全球市值排名第五。目前EOS也和360沟通关于更多漏洞的问题。

360董事长周近日表示，作为近两年的新技术，对其安全构成新的威胁。区块链行业应与网络安全行业合作，共同开拓和构建安全生态。

5月29日，360Vulcan团队宣布在EOS平台上发现了一系列高风险安全漏洞。验证了一些漏洞可以在EOS节点上远程执行任意代码，即EOS上运行的所有节点都可以被远程攻击直接控制和接管。29日凌晨，在漏洞公布之前，360已经首次向EOS官方报告了此类漏洞，并协助其修复安全隐患。

由于区块链网络的分散计算特性。区块链节点实现中的安全漏洞可能会导致数千个节点受到攻击。即使是传统软件漏洞领域被认为危害相对较小的拒绝服务漏洞，也有可能在区块链网络引发全网瘫痪的风暴攻击，对整个数字现金系统产生巨大影响。

360暴露的EOS漏洞，如果被利用，可以控制EOS网络中的每个节点和每个服务器，不仅接管网络中的虚拟货币、各种交易和应用，还接管节点中所有参与的服务器。可以说，如果有人恶意智能签约，可以直接拿走所有的数字现金。

EOS漏洞的攻击可以以秒的速度在多个节点和超级节点之间传播。从控制节点到生成新的块是一个连续的、链式的爆炸动作，有可能接管所有节点，在20秒内完成操作。

试想一下，当攻击者在整个EOS网络中获得了至高无上的权威，就相当于灭霸收集了全部六块宇宙石，可以在宇宙中迅速变化，为所欲为。对于区块链网络来说，没有比这更严重的漏洞了。

360这次发现了EOS的一个重大漏洞，基于360安全脑系统。

360安全脑是360多年积累的技术结晶。360安全大脑的网络安全空大数据现在是世界上最大的。因为有了这些大数据和数据中心，360安全脑现在在态势感知、智能杀伤、攻防和可追溯性，包括应急响应等方面都非常有竞争力。

事实上，360已经关注了人工智能和区块链。他们的共同点是AI算法和区块链算法都是写代码实现的，代码都是人写的，肯定会有漏洞。

在开源软件中，平均每千行有6-8个安全漏洞。

世界正在进入一个大安全时代。随着云计算、大数据、人工智能、物联网等新技术的发展，网络安全已经不再是最初的信息安全，而是从个人信息安全、金融安全、家庭安全、旅行安全、企业安全、社会公共安全、国家信息基础设施安全、政治安全、军事安全等方面入手。

周此前也表示，在大安新时代，他希望继续扮演360安全卫士的角色。应用区块链后，有可能深入生活和生产的许多方面。作为中国最大的安全公司，360当然希望充当“监护人”来保护区块链的应用。

奖金多少不重要。这群黑客不要几个亿人民币！

一个价值数百亿美元的漏洞，奖金只有3万美元，是不是少了点？但是对于安全研究人员来说，他们对漏洞的经济价值不感兴趣！

今年年初，谷歌、微软、苹果等巨头公布了2017年漏洞感谢清单。根据国外漏洞军火商ZERODIUM发布的2017漏洞“标价”，2017年安全研究人员向互联网巨头报告的漏洞被放在黑市上，最低价值2000万美元，折合人民币上亿！Chrome漏洞的最高价格约为15万美元，iOS漏洞的最高价格可达150万美元。

但在安全从业者眼中，将漏洞提交给厂商修复以保护用户安全远比卖给网络军火商恶意攻击更有价值，虽然这些漏洞大多只能得到厂商的免费感谢。谷歌和微软也针对一些漏洞设置了奖金激励，但是价格和黑市的差距很大！

近年来，360在漏洞报告列表中排名第一。2016年，向各大厂商提交408个漏洞，排名世界第一；2017年，360提交的漏洞数量增加到519个，再次创下新纪录。这些漏洞可以交换的好处远不如让产品更安全或获得感谢有意义。