对话EOS漏洞披露亲历者——360伏尔甘负责人郑文彬：关于BM、史诗级、做空、营销

Bianews 5月30日消息，今日，360集团创始人兼CEO周鸿祎接受了火星财经发起人王峰采访，回答了有关EOS漏洞事件以及360区块链布局相关问题。

在采访中，周鸿祎表示，至今也不觉得自己懂区块链，比较懂的就是安全相关问题。同时，周鸿祎还透露360在区块链安全领域的布局以及相关区块链解决方案。

为进一步了解此次EOS 漏洞事件背后的细节，Bianews 采访了此次360 披露EOS漏洞过程中的亲历者——360伏尔甘（ Vulcan ）团队负责人郑文彬。

郑文彬是360 Vulcan Team负责人，360云安全体系、360XP盾甲主要设计开发者，他所领导的Vulcan在Pwn2own 黑客大赛上，连续多年斩获了十几项冠军，在Pwn2own 2017上更是拿到了世界总冠军。

右二即郑文彬

在采访中，郑文彬透露了与BM沟通并报告漏洞的细节，并再强调了此漏洞的危害程度。同时，郑文彬还回应了整个事件过程中存在的诸多质疑和争论，有关360是否“做空”EOS，以及此次事件是否是策划好的营销事件。

同时，郑文彬还提及了360未来如何在区块链安全领域做好漏洞报告，并会加强与区块链社区的交流沟通。

全程参与，会继续与BM沟通

Bianews ：这次EOS漏洞，包括跟BM的沟通，您都亲自参与了吗？具体有哪些工作？

郑文彬：和BM及EOS开发团队沟通是我这边团队参与的，我也参与了和BM的沟通。其实主要工作还是比较流程化的，28号我们完成了漏洞的利用验证后，找到了BM的联系方式，并询问他怎么样报告这个漏洞比较好。

29号的凌晨他回复我们，建议从邮件发而不是直接发到GITHUB上，这样保证报告是私密的。同时也告诉我，在漏洞修复前不会发布。29号早上，我们和他确认漏洞修复，下午我们发布了简短的公告。

当然，后续还有很多进一步的沟通，会继续跟他确认这个漏洞的危害程度。他也认同我们这边的技术实力和提供的帮助，官方也将致谢和给予赏金奖励。

下面我们可能会在进一步报告更多的安全问题，提供一些建议，并做更多沟通。当然，目前我们还没有和他们有正式合作，主要是以第三方安全公司的身份，做免费义务的安全服务。

不是“做空”、也不算是营销

Bianews ：这个漏洞的发掘研究是什么时候开始“立项”的？到28号完成验证用了多久？因为昨天发布了一系列合作，是预先配合计划好一起发布的吗？业界也质疑有营销嫌疑。

郑文彬：我分两部分回答吧。360从2017年底2018年初开始就有安全团队开始进行区块链相关的安全漏洞研究，此前我们也披露了不少关于区块链矿池、钱包、智能合约等的安全漏洞。

就EOS这个漏洞本身来说，我们大概在4月左右开始有一些预研，包括从EOS复杂的系统中选取可能的攻击面等，大约总共用了将近一个月的时间。

漏洞的发掘、公开，都没有什么“计划”一说，因为是到28号完成了漏洞的验证，所以我们就在28号第一时间报告，当然本身也是希望赶在EOS上线之前，尽快能保护用户。至于发布的一系列合作，都不是我们主动发布的，也不存在配合计划之类的事情。

关于营销嫌疑，老周已经说得很好，如果真的是为了恐吓营销，制造大规模恐慌，完全可以在EOS上线之后再报告，效果会有天壤之别。简单来说，我们只是做了一些微小的工作，然后如实说了出来而已。

有关我们的区块链产品方案，我觉得不能算营销，实际上说来惭愧，我们也没有和我们区块链安全解决方案的团队有什么“配合”，但是昨天这个公告发布后，没想到引起这么大的反应，很多业界的朋友，包括国企单位的领导，都来找我们问我们有没有什么解决办法，只能把他们（解决方案团队）推上前台。我们会吸取这方面建议，以后尽早跟我们的解决方案团队配合。

而且不论是我们的安全解决方案，还是区块链漏洞的发现，其实目的都是一个，就是为区块链社区安全提供帮助，建设更好更安全的环境。

Bianews ：在360昨日的公告中，提及“EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。”，但传言并没有官方并没有“EOS网络负责人”这个职位，这又是为何？除了BM本人，还跟他们团队沟通了？

郑文彬：这地方有点混淆，我们说的EOS网络负责人，就是指BM。我们也贴出来了BM和我们的对话，他明确说到“we won't ship it without it fixed”。

Bianews：关于漏洞报告与修复的先后问题，BM今天称在360报告bug前，已经修复bug。360报告/通知BM有bug，是在BM修复前还是后？BM是不是在混淆概念，我理解传统的漏洞提交步骤是“通知-修复-报告”。

郑文彬：对，这点“十问”里，老周也说了，BM有一点混淆概念，BM好像是说我们通知他前就修复了漏洞。但实际上是我们先通知，他们再修复，我们再公告，这个是行业内的标准流程，也是我们负责任的做法。当然是我们通知他有漏洞（包括告诉他细节），他才知道有这个漏洞，进而去修复（这点可以对比GITHUB上的修改日志），然后修复完毕，我们再发公告。

关于这点，EOS官方也将对我们致谢和给出奖励，这事就清楚了。

“史诗级”漏洞名副其实

Bianews：公告中，用“史诗级”形容这次EOS漏洞，是否合适？有些评级机构称对这个漏洞“大惊小怪”了。

郑文彬：这个（“史诗级”）是很合适的。我不知道是哪个“评级机构”，但肯定不是“安全漏洞”的评级机构，要给漏洞定级，还得是专业的安全团队、安全公司。

昨天，有一家国内知名的区块链安全公司负责人在说到这个漏洞时，就提到“这个漏洞无论定多高的级别都合适”。 因为通过这个漏洞，无论身在何地的任意攻击者，都可以直接控制EOS网络里的每一个节点、每一台主机服务器，无论是里面的交易，还是你的服务器，都可以为其所控，这样的漏洞，我们确实也是认为“无论定级多高都合适”的，而且，这也是区块链网络里所能出现的，最高级别、最严重、最可怕的漏洞，不可能再有比这个漏洞更严重的漏洞了。

去年爆发了“永恒之蓝”勒索病毒，这个病毒利用“永恒之蓝”漏洞，一下子控制破坏了几十万个IP所在的电脑。但是如果用EOS网络类比互联网，这个漏洞实际上就和“永恒之蓝”一样，能一瞬间把全球所有的电脑都控制了，这种漏洞够不够严重，是不是“大惊小怪”？

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!