故技重施，EOS惊现“史诗级”漏洞，360高调进军区块链

5月29日，360在其官方微博发表了题为《360发现区块链史诗级漏洞 可完全控制虚拟货币交易》，顿时市场一片恐慌，币圈到处盛传EOS要归零，二十几分钟后EOS价格应声下跌7%。

微信截图_20180531192600.png

但也就在当日，360宣布与EOSLaoMao、欧链、币安、Dbank达成了战略合作，同时发布了自己的数字货币安全白皮书，360成功进军区块链领域。这一切看起来都是那么熟悉。

微信图片_20180531192710.jpg 微信图片_20180531192705.jpg

2012年8月16日，在杀毒软件市场站稳脚跟的周鸿祎推出了360搜索，而在搜索领域百度是一个劲敌，要想在搜索领域占有一席之地，就必须对百度下手。但其实老周早就开始布局了，早在2010年3Q大战时，周鸿祎就曾找马化腾希望得到腾讯的投资，试图联合腾讯一起打百度，并声称自己会做出一哥拦截百度的东西，先攻击百度的医疗广告。

timg (2).jpg

接下来的事我们大家都知道了，2016年魏则西事件曝光，百度被推上舆论的风口浪尖，而360搜索也就成功上位，在搜索领域占有了一席之地。之后便利用自己360软件、360浏览器的便利来巩固自己的地位，假如你安装了360杀毒软件和360浏览器，每次检测都会提醒你将360浏览器设置为默认浏览器，而360浏览器更是将360搜索作为默认的搜索工具，这种行为颇有一种流氓行为，因此360软件也被大家戏称为“流氓软件”。

经历了这么多年的发展，传统互联网以及移动互联网早已无红利，而区块链被认为是下一个风口，现在还处于发展的早期，于是众多互联网公司进军区块链领域，腾讯、网易、阿里、百度等都纷纷布局，360自然是不甘落后，而区块链行业安全问题一直被重视，频频爆出代币被盗事件也让老周看到了自己的机会。

而在区块链领域目前最耀眼的要数EOS了，经历了长达一年的ICO，募集近30亿美元，而主网也将于6月份正式上线，选择找到EOS的漏洞，然后进行曝光无疑是360进军区块链领域的最佳选择。那么我们来回顾下360的打法。

EOS主网上线在即，为了保证顺利上线，于是发出了悬赏令，只要能够找出bug将获得一定金额的奖励。终于360安全大脑经过不懈的努力终于发现了EOS的漏洞，并且将这个漏洞评定为史诗级，360安全公司在其微博上是这样描述的：

其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

传统软件领域的漏洞可能被利用来发起网络攻击，造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系，在数字货币和区块链网络中的安全漏洞，往往会有更严重、更直接的影响。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

360公司此前一直没有接触过区块链，而老周本人也是在今年年初才开始去了解区块链，那么他们对这个安全漏洞的严重性评级是否准确呢？

而EOS创始人BM在电报群中回应称360所提到的安全漏洞早已被修复，早于360发布报告的时间，并且漏洞并没有360说的那么严重，大部分都是来源于第三方代码库并非核心代码，漏洞无法改写可执行内存，无法获得Root权限。并且认为360是在有意制造恐慌。

微信图片_20180531193242.jpg

这原本是一次白帽行为，360发现漏洞后，提交给EOS团队，然后团队再去修复漏洞，360获得相应的奖励。那为何360还要对外发布微博称该漏洞为史诗级，造成市场恐慌。难道没有为了进军区块链刻意炒作的嫌疑，亦或是因为360回归A股借壳上市后市盈率太高，想要借助区块链这个热点来完成自己定向增发的目的，这也许只有老周自己清楚了。

目前EOS还处于上线前的测试阶段，存在漏洞是在所难免的，而360在发现漏洞后用史诗级来描述，这样就有炒作嫌疑了。而EOS也是在漏洞上报后短时间就完成了修复，由此可见团队的实力。传统互联网与区块链还是有很多不同的地方，虽然都是由代码编译的。而如果360想要在区块链中也成为一个安全领域的霸主，我觉得还是需要时间的。

ONO是基于区块链技术的社交网络，定义注意力价值，为新一代年轻用户提供去中心化的自由社交平台。未来必定会拥有大规模的用户，因此需要一个主网可以满足这样的要求，而目前来看只有EOS满足，它在低延迟的基础上支持大规模用户，并且提供免费的服务。

并且很重要的一点是EOS上的bug便于被修复，因为EOS 建立的约束性合约（被称作 EOS “宪法”）定义了仅依靠代码无法完全执行的用户间义务。该合约还定义了源代码协议的人类可读性意图。当出现系统错误时，人类可读性意图可用于区分此错误是否确实为 bug，并判断社区的修复举措是否得当。而当系统面临一个漏洞时，区块生产者还可以加速变更约束性合约。

从这次爆出漏洞到修复就可以看出，因此ONO相信EOS主网能够如期上线，不会因为漏洞的问题而延迟，大家尽可拭目以待。