周鸿祎做客王峰十问回应BM:EOS主网可能会延迟上线

5月29日,360安全卫士官方微博午间发布消息称,近日,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。随后,周鸿祎在微博中表示,EOS平台的智能合约虚拟机中发现的一系列新型安全漏洞“价值百亿美元”。

5月30日凌晨,EOS创始人BM在电报群中回应360披露的EOS安全漏洞问题,称360报告中提到的漏洞早已被EOS修复,且早于360发布报告的时间。对于漏洞本身,BM称大部分漏洞是来源于第三方代码库而非EOS核心代码;且该漏洞并不能改写可执行内存,且不能获得Root权限,除非部署节点时就已经是以Root用户身份来运行。BM的回应,暗指360制造恐慌,并声明对于任何挑起市场恐慌的行为将取消其奖励资格。

5月30日12点30分,360创始人周鸿祎做客“王峰十问智库群”,当被问到如何看待昨天披露安全漏洞的严重程度,以及为什么360安全卫士在微博上将之称为“史诗级”漏洞等问题时,周鸿祎表示,从他做安全的角度看,昨天披露的安全漏洞严重程度是非常高的。只要是人写的软件肯定会有bug,但有些bug,如果被坏人利用来做坏事,就成为安全漏洞。

周鸿祎表示,这个漏洞如果在主网上线后被利用好的话,可以一夜之间毁了EOS。至于为什么说这个漏洞价值百亿美元,他表示,EOS现在的估值至少百亿美金了,所以觉得这个漏洞价值百亿美金并不夸张。

对于BM的回应,周鸿祎表示,BM的回应有点让人混乱,看起来以为是在360报告前就已经修复了,其实是他们遵循了负责任的行业标准流程:报告->修复->公开。

“Telegram上的留言的截图是昨天晚上的,比较断章取义,”周鸿祎“王峰十问智库群”中说道。

此外,周鸿祎否定了外界认为的“360要做空EOS”的猜测,他表示,在通常情况下,为了防止对方受到黑客攻击,360会提前与对方沟通,等对方确认修复之后才会对外公布漏洞,这也是为什么代码修复的时间早于公布的时间。“如果说我们要制造恐慌,直接在主网上线时放出这个,恐慌效果一定比现在要好的多,”周鸿祎说道。

对此,周鸿祎表示,360安全团队已经私下联系了BM ,通知了他们EOS漏洞,希望他们先修复 ,这都是有聊天记录截屏的 。“今天我们也还在和对方继续保持沟通,对方对我们表示感谢,也表示会给我们发放漏洞奖金,会对外发致谢。”他继续说道。

至于大家关心的EOS主网上线问题,周鸿祎认为EOS应该会延迟上线,360的安全团队还在发现一些EOS的漏洞,我们也会第一时间及时的提交给他们,我们建议修复之后再上线。

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();