欢迎来到中国物联网智库-中国通信工业协会物联网应用分会!

360发现漏洞背后:周鸿祎与区块链不得不说的故事

来源:中国通信工业协会物联网分会   | 发表时间:2018 年 5 月 31 日

  360安全卫士于2018年5月29日下午在微博上发布公告称,360Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。一石激起千层浪,这个消息在网上立马引起了轩然大波。

  与此同时,《中国经营报》记者注意到之前360公司对区块链兴趣并不大,是什么促使其对区块链大为改观,积极入局呢?

  致命漏洞事件全回放

  “我们从今年年初开始,就已经关注和研究区块链安全问题了,这次EOS的漏洞,Vulcan(伏尔甘)团队在5月初就发现了。之后半个月里,团队继续研究了漏洞会被如何利用。在28日晚上,Vulcan(伏尔甘)团队把完整利用漏洞的演示视频,还有漏洞相关代码细节提交给了EOS团队,并在29日凌晨协助EOS团队进行了修复。“360公司Vulcan(伏尔甘)团队负责人、360助理总裁、首席安全工程师郑文彬在接受《中国经营报》记者采访时解释了此次发现漏洞的具体细节。

  据郑文彬介绍,这次EOS的漏洞属于缓冲区溢出的漏洞。在64位系统里面,想要进行远程攻击的难度实际上比较大,因为之前,EOS为了加快合约执行速度引入了wasm虚拟机,这样可以帮助EOS的TPS(每秒提交交易数量)相比其他区块链平台要高得多,但与此同时,其实是牺牲了一定的安全性,这个wasm虚拟机能让攻击者更容易实现远程执行代码。“这次发现的漏洞修复起来不太复杂,在我们给EOS团队提交之后,已经配合他们完成了修复。”

  安全问题不容忽视

  在最近疯魔区块链行业的EOS主网6月1日上线前夕,传出了如此重大的高危漏洞。比起是否会对区块链行业造成冲击,区块链的安全性问题变得更加发人深思。

  郑文彬告诉记者,区块链技术和其他互联网技术一样,都是基于软件,是通过代码写程序来实现功能的。只要是编程的东西,一定会存在各式各样的漏洞,所以不仅仅是EOS,其他区块链产品和服务,也都可能存在各种安全隐患。今天发现的是EOS漏洞,但实际上他们也发现过很多其他的,比如钱包、矿池甚至智能合约都存在严重的安全漏洞。

  值得注意的是,昨日360在微博发布的重大漏洞公告中提及攻击者有可能可以利用此次EOS漏洞致使网络中的节点变为僵尸网络中的一员,从而发动网络攻击。郑文彬告诉记者,如果利用此次漏洞去发起攻击,不仅仅是上述提到的51%,甚至于控制EOS所有节点也并非不可能。“不管是利用来作为僵尸网络的一员还是做其他事情,都是可以的。”

  对于公众关心的EOS主网上线是否会因此延期,郑文彬表示,“我们在主网上线之前发现漏洞,并通报给EOS官方团队,并帮助他们修复漏洞,这肯定是有益于EOS的长期发展的。至于对EOS主网上线的影响以及是否延期,这个我们不好判断。”

  “区块链方向之前也出现过很多次安全问题带来的负面事件,但我相信这次漏洞事件,能够引起区块链业界和同行们真正重视区块链安全问题。“郑文彬这样说道。

  360早先对区块链并不感冒

  2018年1月17日,360董事长周鸿祎出席中国金融博物馆书院读书分享会时,被问到对于区块链的看法时,他曾坦言目前他本人对区块链的布局还没有具体想法,他对区块链对于实际应用的意义是否如很多人所吹捧狂热的那么重要,也持谨慎的态度。

  但是1月19日下午,360公司就宣布推出全球首家基于区块链的安全共享云平台——共享云计划。

  2月14日,360推出了基于区块链技术下的虚拟猫。外界评论此次发布的区块猫是360在区块技术上的一次“试水”产生的“副产品”。

  3月2日,作为全国政协委员出席两会发布会上的周鸿祎在接受采访时也表示,目前为止尚未看到非用区块链不可的场景,区块链中唯一刚需就是比特币。并且比特币即使具有账本不可篡改的特性,也会面临网络攻击的问题,比如当有人控制了51%的算力进行攻击,还有如今的加密算法将来面对量子计算的问题,万一哈希算法被破解,那么区块链将面临的安全风险不可忽视。

  但到了近期,360公司对区块链显示出了前所未有的热情。

  5月25日,360首次发布针对区块链领域的安全解决方案。该方案基于360的安全大数据,结合360安全大脑,涵盖了钱包、交易所、矿池、智能合约四大领域。在钱包领域,Dbank为360首家战略合作方,360安全团队则为Dbank提供核心安全技术。

  5月29日曝出币安将与360达成安全方面的深度合作,360将为币安提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。同时,360安全团队也将向币安提供长期的安全检测服务。

  同样是5月29日,北京欧链科技有限公司(OracleChain)宣布,已经与北京奇虎科技有限公司(360)达成战略合作,双方将共同携手,就区块链底层技术、区块链安全服务、区块链预言机服务以及区块链应用等领域开展深入合作。

  近期数字币面临多事之秋、风雨飘摇,外界争论不休,又遭曝光了致命漏洞。

  为何360公司恰恰选择此刻开始大举进军区块链呢?

  “区块链的应用不只是虚拟币,会有更多的应用场景,证券、支付、游戏甚至隐私保护等等方面,都可能会诞生很多区块链应用案例。360是做安全的,区块链作为最新的互联网技术,其安全性问题非常值得我们关注和研究。”360安全团队负责人郑文彬向记者这样解释道,“作为安全公司,360通过给区块链行业提供安全解决方案及安全服务,让区块链应用能更加安全快速地发展。针对区块链严峻的安全形势,360公司基于360安全大脑,利用360大脑在网络安全感知、监测、分析及决策方面的能力,特别布局了一整套区块链安全生态,主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案三大系统。”

  郑文彬表示:“360作为安全公司,对于区块链等新领域面临的安全威胁,会持续从攻防两方面投入安全研究。360从今年年初开始就已经投入研究区块链安全,5月中旬我们刚刚发布了360安全大脑,我们会将360安全大脑在网络安全允许状况感知、监测、分析以及决策能力与区块链安全进行结合,提供一系列区块链安全解决方案。”

  面对记者问及360是否会推出360虚拟货币安全钱包,郑文彬表示,360安全团队会持续关注数字加密资产的安全性问题,其实在此之前,360公司对全球20多款钱包进行了安全审计,发现80%都存在安全问题,最近360也为此发布了钱包安全白皮书,提出了钱包安全标准,帮助钱包开发者改善安全状况。

来源:中国经营报,由 宋淑杰 整理编辑! 

COPYRIGHT (©) 2017 中国通信工业协会物联网应用分会