刚刚，EOS 向 360 发布 3 万美金致谢

北京时间 6 月 2 日凌晨，EOS1.0 正式版发布，同一时间，EOS 官方就近期出现的一系列高危漏洞做出回应，向发现漏洞的 360 公司安全团队公开致谢，对其中 3 个漏洞分别给出 1 万美元的赏金，同时表示，欢迎安全社区人员共同努力保证 EOS1.0 软件安全性的持续提高。

这是 EOS 官方首次向安全机构发布赏金致谢。

EOS 是被称为 ' 区块链 3.0' 的新型区块链平台，目前其代币市值高达 690 亿人民币，在全球市值排名第五。目前，EOS 还就更多漏洞情况与 360 进行沟通。

360 董事长周鸿祎日前表示，区块链作为这两年新火起来的技术，它遇到的安全威胁属于新威胁。区块链行业，应该与网络安全行业，做到协同开放，共同构建安全生态。

图：360 累计获 3 万美金致谢

20s 轰瘫数字货币体系！360 发现区块链 ' 灭霸 ' 式攻击

5 月 29 日，360Vulcan（伏尔甘）团队宣布，发现了 EOS 平台的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。29 日凌晨，漏洞公布前，360 已第一时间将该类漏洞上报 EOS 官方，并协助其修复安全隐患。

由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

360 曝光的 EOS 漏洞，如果被人利用，可以控制 EOS 网络里面的每一个节点、每一个服务器，不仅仅是接管网络里面的虚拟货币、各种交易和应用，也可以接管节点里面所有参与的服务器。可以说，如果有人做一个恶意的智能合约，就能够把里面所有的数字货币直接拿走。

EOS 漏洞的攻击可以以秒级的速度在多个节点和超级节点之间传播，从控制节点到生成新块继续传播是连续的、链式的爆炸动作，很可能 20 秒就接管了所有的节点，完成了操作。

想象一下，当攻击者已经拿到整个 EOS 网络里至高无上的权限，就相当于灭霸把六颗宇宙原石都凑齐了，在宇宙中可以瞬息万变，为所欲为的。对于区块链网络来说，不会有比这个更严重的漏洞了。

安全大脑：' 守护者 ' 对抗 ' 野蛮人 '

360 此次发现 EOS 的重大漏洞，是基于 360 安全大脑体系。

360 安全大脑是 360 多年技术积累的结晶。360 安全大脑的网络安全空间大数据，现在是全球规模最大的。也因为有这些大数据和数据中心，360 安全大脑的态势感知、智能查杀、攻防与溯源，包括应急响应上，现在在全球都非常具备竞争力。

事实上，360 早已关注人工智能和区块链，他们的共同点是无论是 AI 的算法，还是区块链的算法，都是通过写代码实现的，而代码是人写的，肯定会有漏洞的。

开源软件中，每千行平均就有 6-8 个安全漏洞。

全球正在进入一个大安全时代，因为云计算、大数据、人工智能还有物联网这些新技术的发展，网络安全已然不是最初的信息安全，而是从个人的信息安全、金融安全、家庭安全、出行安全，到企业安全，再到社会的公共安全，再到国家的信息基础设施安全、政治安全、军事安全。

周鸿祎此前亦表示，在大安全新时代，希望能够继续发挥 360 安全守护者这个作用。区块链应用以后有可能深入生活、生产的多个方面，360 作为国内最大的安全公司，当然希望充当一个 ' 守护者 ' 的角色，为区块链应用保驾护航。

奖金多少无所谓？这群黑客上亿人民币都不要！

价值百亿美金的漏洞，奖金只有 3 万美金，是不是少了点？但对于安全研究者来说，他们对于漏洞经济价值的态度是：不感兴趣！

今年年初，谷歌、微软、苹果等巨头公布了 2017 年漏洞致谢榜，根据国外漏洞军火商 ZERODIUM 发布的 2017 年漏洞 ' 牌价 ' 表来看，安全研究者 2017 年给互联网三巨头报告的漏洞，放在黑市上，价值最低也有 2000 万美元，折合人民币上亿！一个 Chrome 漏洞价格最高在 15 万美元左右，iOS 漏洞的价格最高竟然可达 150 万美元。

但在安全从业者眼里，把漏洞提交厂商修复来保护用户安全，远比卖给网络军火商进行恶意攻击更有价值，尽管这些漏洞大多只能获得厂商免费的感谢。谷歌和微软也为部分漏洞设立了奖金鼓励，但价格和黑市上的差距却天壤之别！

近几年， 360 蝉联漏洞报告榜单首位。2016 年，向各大厂商提交 408 枚漏洞，创世界纪录排名榜首；2017 年全年，360 提交的漏洞增至 519 枚，再次刷新纪录。这些漏洞能换取的利益，远远不如让产品变得更安全，或者得到致谢来得有意义。

原网页已经由 ZAKER 转码以便在移动设备上查看查看原文