起于玉紅放言“空氣幣”，爆于360公布“史詩(shī)級(jí)漏洞”，EOS陷入的這場(chǎng)輿論風(fēng)暴很難讓人不“陰謀論”，畢竟距離6月2日其主網(wǎng)上線沒(méi)幾天了。

EOS此次被爆出的安全漏洞究竟是否如周鴻祎所言，黑客可以為所欲為？曲速未來(lái)創(chuàng)始人&CEO侯欣杰在接受節(jié)點(diǎn)財(cái)經(jīng)專(zhuān)訪時(shí)給出的答案是：沒(méi)那么夸張。

侯欣杰于2007年加入阿里集團(tuán)安全中心成為第4號(hào)員工，也是阿里云創(chuàng)始成員；他設(shè)計(jì)了阿里集團(tuán)第一套白盒代碼審計(jì)系統(tǒng)，并曾多年擔(dān)任阿里云計(jì)算安全風(fēng)控反欺詐技術(shù)負(fù)責(zé)人——該安全體系承載著每年天貓雙11活動(dòng)的數(shù)百億訪問(wèn)風(fēng)控安全對(duì)抗。

我們先來(lái)回顧此次“EOS漏洞”事件始末。（了解的可自行跳過(guò)）

5月25日，360發(fā)布區(qū)塊鏈安全態(tài)勢(shì)感知系統(tǒng)，正式涉足區(qū)塊鏈安全領(lǐng)域，并連續(xù)發(fā)布多條加密貨幣錢(qián)包、區(qū)塊鏈項(xiàng)目漏洞，以及釣魚(yú)與空投騙術(shù)的信息。

5月28日，3點(diǎn)鐘社群發(fā)起人玉紅在2018中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上表示：EOS是全球最大的的空氣幣和傳銷(xiāo)幣。

5月29日，360稱(chēng)其Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)了EOS一系列高危安全漏洞，其中部分漏洞可在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼，即可以通過(guò)遠(yuǎn)程攻擊，直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。當(dāng)天，360董事長(zhǎng)周鴻祎微博表示，他們發(fā)現(xiàn)的EOS漏洞價(jià)值超“百億美金”。

5月30日，BM在EOS開(kāi)發(fā)者電報(bào)群中表示，bug在被公布前就已修復(fù)，但（被360）過(guò)度夸大。當(dāng)天，周鴻祎答王峰十問(wèn)，稱(chēng)EOS漏洞為史詩(shī)級(jí)漏洞，“于區(qū)塊鏈網(wǎng)絡(luò)來(lái)說(shuō)，不會(huì)有比這個(gè)更嚴(yán)重的漏洞了”。

是玉紅給自己發(fā)起孵化的XMX吸粉，還是360為自家的區(qū)塊鏈安全業(yè)務(wù)造勢(shì)？是周鴻祎違背道義還是BM人品惡劣？各路人士眾說(shuō)紛紜。

DFUND創(chuàng)始人趙東在朋友圈直言不諱：不管360什么目的（我們不要懷疑別人做事的動(dòng)機(jī)），我至少確定一點(diǎn)：根據(jù)gitHub代碼提交時(shí)間可知，BUG修復(fù)在360向BM匯報(bào)BUG之后而非之前。BM在睜著眼睛說(shuō)瞎話，人品極其不可靠。

侯欣杰則認(rèn)為，黑客要想利用該漏洞盜取EOS，在實(shí)操層面并沒(méi)有周鴻祎所說(shuō)的那么容易。

EOS存在“史詩(shī)級(jí)漏洞”會(huì)被全部盜走？

侯欣杰：沒(méi)那么夸張

在昨日答王峰十問(wèn)時(shí)，周鴻祎解釋了360所爆EOS的安全漏洞到底有多嚴(yán)重：如果漏洞被人利用，（黑客）可以控制EOS網(wǎng)絡(luò)里面的每一個(gè)節(jié)點(diǎn)每一個(gè)服務(wù)器，那就不僅僅是接管網(wǎng)絡(luò)里面的虛擬貨幣、各種交易和應(yīng)用，也可以接管節(jié)點(diǎn)里面所有參與的服務(wù)器。（黑客）拿到服務(wù)器權(quán)限，就可以為所欲為了。如果有人做一個(gè)惡意的智能合約，就能夠把里面所有的數(shù)字貨幣直接拿走了。所以這個(gè)對(duì)于區(qū)塊鏈網(wǎng)絡(luò)來(lái)說(shuō)，不會(huì)有比這個(gè)更嚴(yán)重的漏洞了。

在侯欣杰看來(lái)，這的確是個(gè)安全漏洞，但其實(shí)沒(méi)有周鴻祎所說(shuō)的“史詩(shī)級(jí)”那么嚴(yán)重：黑客想要通過(guò)此次爆料的漏洞獲取用戶數(shù)字貨幣，起碼在EOS啟動(dòng)回滾之前，沒(méi)有足夠時(shí)間完成操作。

“首先，EOS有21個(gè)節(jié)點(diǎn)與若干備選節(jié)點(diǎn)，而要發(fā)生周鴻祎所說(shuō)的后果，（黑客）首先需要提交一個(gè)攻擊合約，然后讓其中一個(gè)節(jié)點(diǎn)運(yùn)行這個(gè)合約，只有在節(jié)點(diǎn)運(yùn)行這個(gè)合約的時(shí)候才能被攻擊，也就是說(shuō)每次攻擊只能控制1個(gè)節(jié)點(diǎn)。這意味著，要盜走數(shù)字貨幣，必須讓所有節(jié)點(diǎn)全部運(yùn)行這個(gè)攻擊合約，而現(xiàn)實(shí)往往會(huì)這一次攻擊時(shí)可能是A節(jié)點(diǎn)運(yùn)行該攻擊合約，被控制了，下一次該節(jié)點(diǎn)可能就變成備選了，那對(duì)應(yīng)的這次攻擊也就無(wú)效了，而且還要保障在此期間不被發(fā)現(xiàn)。要知道，合約和區(qū)塊數(shù)據(jù)都是公開(kāi)的，僅在眾目睽睽之下攻擊別人不被發(fā)現(xiàn)這一點(diǎn)就極其難實(shí)現(xiàn)。此前BEC合約出現(xiàn)安全漏洞，在短短20分鐘內(nèi)就被歸零了，就是因?yàn)楸话l(fā)現(xiàn)了。

其次，并不是控制了所有的節(jié)點(diǎn)就能為所欲為，因?yàn)楣?jié)點(diǎn)只負(fù)責(zé)產(chǎn)生區(qū)塊，而維護(hù)區(qū)塊鏈安全運(yùn)行是由整個(gè)網(wǎng)絡(luò)完成的，也就是說(shuō)如果出現(xiàn)一個(gè)不合法的區(qū)塊想要欺騙整個(gè)區(qū)塊鏈網(wǎng)絡(luò)，幾乎不可能；目前區(qū)塊的數(shù)據(jù)都是基于hash和數(shù)字簽名的方式，控制了節(jié)點(diǎn)不代表就能修改里面的數(shù)據(jù)，包括給自己增加coin，偷別人的coin等等操作，因?yàn)橐祫e人錢(qián)包里面的錢(qián)得必須要有鑰匙，節(jié)點(diǎn)是沒(méi)有鑰匙的。

第三，假如前面所有攻擊都順利完成了，攻擊者通過(guò)此漏洞給自己錢(qián)包增加了EOS，但是他需要通過(guò)交易所來(lái)實(shí)現(xiàn)快速套現(xiàn)。攻擊者必須先把自己的EOS從錢(qián)包轉(zhuǎn)入交易所，通過(guò)交易所的交易來(lái)轉(zhuǎn)移資產(chǎn)，而交易所本身對(duì)風(fēng)險(xiǎn)交易是有風(fēng)控的（曲速未來(lái)已與多家知名交易所逐步展開(kāi)合作中），超大額交易是會(huì)被監(jiān)控的。比如幣安之前的問(wèn)題，就是攻擊者操控了多個(gè)賬戶做惡意交易，也就是說(shuō)前提是攻擊者需要準(zhǔn)備足夠多的小號(hào)。曲速未來(lái)會(huì)與交易所合作提供同人同機(jī)識(shí)別服務(wù)，能夠檢測(cè)出惡意交易。在惡意交易完成之前，交易所有能力凍結(jié)風(fēng)險(xiǎn)賬戶，包括提幣提現(xiàn)操作，回滾交易等等都足以讓攻擊無(wú)效，BEC就是很好的例子。

簡(jiǎn)單來(lái)說(shuō)，想要利用此次漏洞盜取EOS，要繞過(guò)以上制約而且必須要在20分鐘乃至更短時(shí)間內(nèi)完成以上所有操作。”

 如何看待360官方公開(kāi)EOS安全漏洞？

侯欣杰：EOS可以送一封律師函