我们和EOS方面目前没有直接合作的,区块链安全是我们一直关注的问题,此外360也是互联网科技企业,像EOS这些主要的公链,我们在技术研究方面一直有投入。从年初开始就已经与一些合作伙伴,就EOS生态建设、安全防护、主节点的竞争等方面进行交流讨论。
5
360否认恶意做空EOS
王峰:第五问,让我们直面一下阴谋论吧,虽然我不相信,但坊间有传闻,360联合某些组织在做空EOS。抱歉我不得不问这个问题,因为在国内有很多EOS超级节点的参与者,他们中有很多人是EOS的狂热支持者,昨天360曝光安全漏洞,引发了各种猜测和起哄,有群友要求提出这个问题。
周鸿祎:大家从我们披露漏洞的时间其实应该就能知道我们肯定不是在做空。假如我真想恶意做空的话,完全可以捂着,等EOS主网上线,直接爆出来。
我们现在的做法是什么?是安全行业标准的漏洞通报机制,先和EOS团队联系,提交漏洞详情,然后等他们修复完成了,我们才对外公布,这是非常负责任的做法。我们是希望EOS乃至整个区块链行业发展的更好。
6
区块链企业如何加强安全性?
王峰:第六问,关于安全问题,我从“王峰十问”一开始就问过做量子链的帅初。后来发现其中很多隐患,比如除了EOS之外,我注意到以太坊也有过几次严重的安全事件:2016年6月17日,当时最大的众筹项目TheDAO遭到攻击,导致300多万以太币资产被分离出资产池;2017年7月21日,智能合约编码公司Parity确认有 15万以太币被盗。以及,最近的BEC被巨量增发抛售。以EOS和以太坊如此的体量和实力尚且如此,对于其他区块链项目而言,也需额外警惕安全风险。你认为区块链企业自身应该采取哪些措施,加强区块链的安全性?
周鸿祎:区块链领域里面,我认为真正的安全问题其实还没出来。通过这次披露EOS漏洞,我们希望是让大家能够重视区块链安全问题。在网络安全行业里,有两种情况是最可怕的,一种是做沙漠里的鸵鸟,知道不改,还有一种是知道了不爆出来,最后被人利用,这两个才是最可怕的。
我最近还在提一个概念,叫“大安全”,简单说,就是网络安全的影响已经从最初简单的信息安全,演变到现在,从线上到线下,都会受到网络攻击的威胁,并且新威胁越来越多。
区块链作为这两年新火起来的技术,它遇到的安全威胁,我也把它归到新威胁里面。
这种情况下,光靠某个企业,比如区块链行业里,你某个项目自身,安全防护能力肯定是有限的,反过来光靠360这样一家安全公司也不行,所以应该是整个安全行业需要得到发展。
所以,区块链行业,要能够与网络安全行业,做到协同开放,大家一起来做这个事情。你上一个区块链项目,区块链本身,王峰你肯定比我懂得多,但是安全问题上,肯定我的人更专业,那如果我们来给你们做一下安全检测,是不是安全风险就会降低很多?
我们一定要记住,有这么一句话,叫“没有攻不破的网络”,只有没被发现的漏洞,或者被发现没公开的,不存在没有漏洞的网络。所以,我们希望无论是区块链行业,还是其他行业,要能够正视网络安全问题的重要性。
做法上,除了我刚刚说的,利用网络安全行业的外部公司力量,你还可以做一些漏洞奖励计划,让整个安全社区都来帮助你解决安全问题。我们每年都会帮谷歌、微软和苹果他们解决很多问题,他们都有自己的漏洞奖励计划,对提交漏洞的团队给予奖励。
王峰:从目前的漏洞产生机制上看,360安全团队只曝光了EOS智能合约的设计缺陷,实际上,从漏洞风险上看,我们认为可能在P2P端口、RPC端口、服务器与集群等方面还可能潜藏着很多安全的大坑。360的技术团队对这些问题是否会对EOS进行系统的评估?这个问题,比较技术向一些。希望您和360安全团队给我一些你们的看法。
