起于玉紅放言“空氣幣”，爆于360公布“史詩級漏洞”，EOS陷入的這場輿論風暴很難讓人不“陰謀論”，畢竟距離6月2日其主網上線沒幾天了。

EOS此次被爆出的安全漏洞究竟是否如周鴻祎所言，黑客可以為所欲為？曲速未來創始人&CEO侯欣杰在接受節點財經專訪時給出的答案是：沒那么夸張。

侯欣杰于2007年加入阿里集團安全中心成為第4號員工，也是阿里云創始成員；他設計了阿里集團第一套白盒代碼審計系統，并曾多年擔任阿里云計算安全風控反欺詐技術負責人——該安全體系承載著每年天貓雙11活動的數百億訪問風控安全對抗。

我們先來回顧此次“EOS漏洞”事件始末。（了解的可自行跳過）

5月25日，360發布區塊鏈安全態勢感知系統，正式涉足區塊鏈安全領域，并連續發布多條加密貨幣錢包、區塊鏈項目漏洞，以及釣魚與空投騙術的信息。

5月28日，3點鐘社群發起人玉紅在2018中國國際大數據產業博覽會上表示：EOS是全球最大的的空氣幣和傳銷幣。

5月29日，360稱其Vulcan（伏爾甘）團隊發現了EOS一系列高危安全漏洞，其中部分漏洞可在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。當天，360董事長周鴻祎微博表示，他們發現的EOS漏洞價值超“百億美金”。

5月30日，BM在EOS開發者電報群中表示，bug在被公布前就已修復，但（被360）過度夸大。當天，周鴻祎答王峰十問，稱EOS漏洞為史詩級漏洞，“于區塊鏈網絡來說，不會有比這個更嚴重的漏洞了”。

是玉紅給自己發起孵化的XMX吸粉，還是360為自家的區塊鏈安全業務造勢？是周鴻祎違背道義還是BM人品惡劣？各路人士眾說紛紜。

DFUND創始人趙東在朋友圈直言不諱：不管360什么目的（我們不要懷疑別人做事的動機），我至少確定一點：根據gitHub代碼提交時間可知，BUG修復在360向BM匯報BUG之后而非之前。BM在睜著眼睛說瞎話，人品極其不可靠。

侯欣杰則認為，黑客要想利用該漏洞盜取EOS，在實操層面并沒有周鴻祎所說的那么容易。

EOS存在“史詩級漏洞”會被全部盜走？

侯欣杰：沒那么夸張

在昨日答王峰十問時，周鴻祎解釋了360所爆EOS的安全漏洞到底有多嚴重：如果漏洞被人利用，（黑客）可以控制EOS網絡里面的每一個節點每一個服務器，那就不僅僅是接管網絡里面的虛擬貨幣、各種交易和應用，也可以接管節點里面所有參與的服務器。（黑客）拿到服務器權限，就可以為所欲為了。如果有人做一個惡意的智能合約，就能夠把里面所有的數字貨幣直接拿走了。所以這個對于區塊鏈網絡來說，不會有比這個更嚴重的漏洞了。

在侯欣杰看來，這的確是個安全漏洞，但其實沒有周鴻祎所說的“史詩級”那么嚴重：黑客想要通過此次爆料的漏洞獲取用戶數字貨幣，起碼在EOS啟動回滾之前，沒有足夠時間完成操作。

“首先，EOS有21個節點與若干備選節點，而要發生周鴻祎所說的后果，（黑客）首先需要提交一個攻擊合約，然后讓其中一個節點運行這個合約，只有在節點運行這個合約的時候才能被攻擊，也就是說每次攻擊只能控制1個節點。這意味著，要盜走數字貨幣，必須讓所有節點全部運行這個攻擊合約，而現實往往會這一次攻擊時可能是A節點運行該攻擊合約，被控制了，下一次該節點可能就變成備選了，那對應的這次攻擊也就無效了，而且還要保障在此期間不被發現。要知道，合約和區塊數據都是公開的，僅在眾目睽睽之下攻擊別人不被發現這一點就極其難實現。此前BEC合約出現安全漏洞，在短短20分鐘內就被歸零了，就是因為被發現了。

其次，并不是控制了所有的節點就能為所欲為，因為節點只負責產生區塊，而維護區塊鏈安全運行是由整個網絡完成的，也就是說如果出現一個不合法的區塊想要欺騙整個區塊鏈網絡，幾乎不可能；目前區塊的數據都是基于hash和數字簽名的方式，控制了節點不代表就能修改里面的數據，包括給自己增加coin，偷別人的coin等等操作，因為要偷別人錢包里面的錢得必須要有鑰匙，節點是沒有鑰匙的。

第三，假如前面所有攻擊都順利完成了，攻擊者通過此漏洞給自己錢包增加了EOS，但是他需要通過交易所來實現快速套現。攻擊者必須先把自己的EOS從錢包轉入交易所，通過交易所的交易來轉移資產，而交易所本身對風險交易是有風控的（曲速未來已與多家知名交易所逐步展開合作中），超大額交易是會被監控的。比如幣安之前的問題，就是攻擊者操控了多個賬戶做惡意交易，也就是說前提是攻擊者需要準備足夠多的小號。曲速未來會與交易所合作提供同人同機識別服務，能夠檢測出惡意交易。在惡意交易完成之前，交易所有能力凍結風險賬戶，包括提幣提現操作，回滾交易等等都足以讓攻擊無效，BEC就是很好的例子。

簡單來說，想要利用此次漏洞盜取EOS，要繞過以上制約而且必須要在20分鐘乃至更短時間內完成以上所有操作。”

 如何看待360官方公開EOS安全漏洞？

侯欣杰：EOS可以送一封律師函