PET塑钢打包带厂家
免费服务热线

Free service

hotline

010-00000000
PET塑钢打包带厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

【消息】王峰对话周鸿祎EOS漏洞价值百亿美金不夸张

发布时间:2021-01-03 02:16:39 阅读: 来源:PET塑钢打包带厂家

5月30日,“王峰十问”继续进行,蓝港互动创始人、火星财经发起人王峰对话了360公司董事长周鸿祎。

就在昨日,EOS被360安全团队爆出存在“价值百亿美元的安全漏洞”,周鸿祎在对话中回应说,这些漏洞EOS官方是确认真实有效的。

周鸿祎表示,360在这个过程中没有立场,是中立的,提出任何一个系统的漏洞,都是为了帮助这个系统改善安全性,保证它的安全,不是为了打击它。

周鸿祎认为,这个漏洞如果在主网上线后被利用好的话,可以一夜之间毁了EOS。至于为什么说这个漏洞价值百亿美元,他回应说,EOS现在的估值至少百亿美金了,所以觉得这个漏洞价值百亿美金并不夸张。

周鸿祎还指出,区块链作为这两年新火起来的技术,它遇到的安全威胁,我们可以把它归到新威胁里面,有一句话叫‘没有攻不破的网络’,只有没被发现的漏洞,或者被发现没公开的,不存在没有漏洞的网络。

以下是二人对话的主要内容:

王峰:在今年春节之后,3点钟微信群火爆区块链期间,你也从未轻易表达过对区块链的看法,可是昨天,通过爆料EOS严重安全漏洞之际,360闪电出击,在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作,这是为什么?看起来你是蓄谋已久啊,后面还有大招?

周鸿祎:其实也没有谋多久,从年前开始,我自己也在努力学习区块链的东西。我在3点钟群里没怎么表达看法,是因为确实还没怎么看懂一些东西。

但在安全上我们是专家,所以在17年年底18年年初,实际上我们就已经在关注区块链安全,开始研究区块链技术和相关的安全问题。

在这个过程中,我们和业内很多项目也都有过接触沟通和交流的,我们的心态还是比较开放的,我们也希望大家都能够关注安全问题,所以当大家主动来找我们,希望在区块链安全方面有些深入沟通交流,我们也非常愿意为区块链行业提供更安全的解决方案。

后面我们肯定还是会继续深入研究区块链安全问题,也会继续保持开放心态,欢迎大家来交流合作。

尽管很多区块链、数字货币的设计都标榜非常安全,但任何软件系统,只要非常复杂,这种复杂度,都会带来bug和漏洞,bug和漏洞被人利用,就会带来风险,就会有安全问题。

区块链技术也一样,现在比较火热,我们现在关注的也比较多,我们最近发现很多区块链系统、交易所系统、钱包系统存在问题。

之前大家都在关注区块链带来的商业机会,但是很少有人关注区块链安全问题,最近EOS准备上线,在区块链行业里非常具有代表性,我们这次发现EOS漏洞,提交给对方,希望督促他们修补系统,所以我们披露漏洞,是我们安全公司的职责所在。

没有大家想象的什么蓄谋已久,也没有什么大招,我们的大招就是踏踏实实帮助区块链行业排除风险 。

我至今也不觉得自己懂区块链,我个人也没有买虚拟货币,看着大家在这些群里热烈的讨论,每个人都忧国忧民,每个人都像经济学家、哲学家、思想家一样的发出各种见解,我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全,所以我们希望和大家一起交流,让区块链行业更安全。

至于很多人和我们合作,说明大家开始重视安全,是个好事。我们也很开放,我们没有任何立场,对所有的玩家来说,我们都愿意帮助他保护用户的安全。我们希望把区块链行业的安全生态发展起来。

王峰:你如何看待昨天披露安全漏洞的严重程度?为什么称这个漏洞价值百亿美元?为什么360安全卫士在微博上将之称为“史诗级”漏洞?

周鸿祎:我们没有立场,是中立,我们提出任何一个系统的漏洞,都是为了帮助这个系统改善安全性,保证它的安全,不是为了打击它。区块链这个行业里,大家其实是在一条船上,作为新生事物,某一家不安全会让大家对整个行业产生质疑、失去信心,对行业是不利的。所以我们反对大家利用安全问题做文章,把安全问题变成竞争的工具。

我先来解释下这个漏洞被人利用可以用来干什么。如果漏洞被人利用,可以控制EOS网络里面的每一个节点每一个服务器,那就不仅仅是接管网络里面的虚拟货币、各种交易和应用,也可以接管节点里面所有参与的服务器。拿到服务器权限,就可以为所欲为了。如果有人做一个恶意的智能合约,就能够把里面所有的数字货币直接拿走了。所以这个对于区块链网络来说,不会有比这个更严重的漏洞了。

再说“史诗级”,EOS在区块链发展史上的重要性大家肯定知道,如果说,这个漏洞我们没有提出来,EOS没有修复,等到EOS主网上线了,被恶意的黑客发现并利用了,那时候EOS会不会一夜之间就被搞掉了,我们都不好说。

EOS现在的估值至少百亿美金了,所以我觉得这个漏洞价值百亿美金并不夸张。另外就是这个其实是我们安全圈内部的说法,是半个舶来语。“史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

当然我从公关的角度来看,史诗级这个词大家理解不一样,太文艺青年了,所以说成百亿美金的漏洞,大家会不会觉得更接地气一点。因为很多标题党 “吓尿了、吓哭了 、吓软了、崩溃了”都被滥用了 ,所以用了个“史诗级 ”,其实说百亿美金级别最好了。

王峰:今天凌晨,EOS创始人BM的回应,暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此,你怎么看?

周鸿祎:没问题,慢慢来,让子弹先飞一会,你说的消息其实已经不是最新的,最新的慢慢说。

对于已经修复这个事情,我还是需要和大家普及一个知识,就是我们安全厂商对外公开披露的漏洞,一定是先和对方沟通,提交给对方去修复,在得到他们修复的确认之后,然后我们再公开。因为如果EOS没有修复,我们公布出来了,肯定会有一大波黑客立马上去搞他们,所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS,对微软谷歌苹果都是一样的,对于安全漏洞,通常的步骤就是,首先是挖掘漏洞,挖出来之后就会研究,会怎么被黑客们利用,把这些研究透了,再向相关的厂商汇报,比如这次EOS的,就是把怎么利用的视频还有涉及的详细代码报告给了对方,再然后就是对方修复,等对方确认修复之后,我们才会对外公布。

BM的回应有点让人混乱,看起来以为是我们报告前他们已经修复了,其实是我们遵循了负责任的行业标准流程,报告->修复->公开。

非常明确地说,我们先私下联系了BM,通知了他们EOS漏洞 ,希望他们先修复 这都是有聊天记录截屏的,等到EOS修复了,我们再对外发布这个漏洞公告。

今天我们也还在和对方继续保持沟通,对方对我们表示感谢,也表示会给我们发放漏洞奖金,会对外发致谢。

长春妇科的医院哪家好

北京癫痫病医院治疗女性癫痫病效果

北京治疗急慢性肾炎专科医院哪家好

河南人民医院路线