360在下一盘大棋，关键节点爆EOS“史诗级”漏洞

5 月 29 日，360 安全卫士发文宣布公司Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。

29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。

区块链网络安全问题频发引担忧

区块链产业的快速发展，使得它在漏洞与安全防护方面的问题频频发生，只在今年就发生了多起黑客攻击与系统漏洞的事件，不禁让人担忧其未来的发展。

自5月25日在中国计算机学会主办的青年精英论坛上，360首次发布区块链安全态势感知系统后，已陆续发布多条加密货币钱包、区块链项目漏洞，以及钓鱼与空投骗术的信息，尤其这次对于当下如此火爆的EOS漏洞的爆料，更是骇人听闻。

具体过程是，攻击者将发布包含恶意代码的智能合约，而EOS 超级节点将会执行此恶意合约，在执行过程中触发其中的安全漏洞，攻击者再利用超级节点将恶意合约打包成新的区块，从而导致全网中的节点被远程控制。

360核心安全事业部安全研究员彭峙酿介绍说，360对区块链不光是智能合约，对钱包、矿池等很多相关应用都有关注，也发现了很多安全问题，360从今年开始在做整体的区块链安全解决方案。

EOS网络漏洞，各方看法众说纷纭

有消息称，360安全团队其实早在之前就发现了EOS的这个“史诗级”大漏洞，而偏选在EOS主网即将上线的这个节点上爆料，这让很多人都想成恶意做空。

有网友调侃道：“这几个月各种做空，黑客做空、假消息做空、警察查处做空、官方做空、农药做空、等各种做空方式，昨天在博鳌见到了特型演员做空，今天却见到了360安全卫士做空，感觉自己这辈子值了。”

而在今天的360媒体沟通会上，360安全团队相关负责人回应称，不存在做空，有漏洞就告诉官方;如果要做空的话等主节点做空之后效果更好，360团队肯定会秉着基本的职业素养。

帅初针对此次事件，也发表了看法，他认为第一，这种漏洞在支持虚拟机的合约平台上容易发生，智能合约无限的灵活性也留下了无限的隐患。任何一个小的共识协议的疏忽，都会有机会ddos整个区块链网络。第二，面向货币的设计，比特币做的不多不少，刚好合适。第三，eth和eos，都不是面向货币的设计，面向区块链平台的设计，复杂度很高，也蕴含更多安全隐患。第四，之前unlimited btc，也是因为一个共识bug，网络就会被ddos瘫痪。第五，应该和webassembly新的虚拟机和无gas模型有关，远程代码被vm编译后，被无限执行。

360在EOS主网上线之前向整个区块链社区抛出这一重磅消息，而以此来树立360在未来区块链行业中的标杆地位，李笑来在社区内表示，360此举是对EOS社区释放的一个善意的信号。

与此同时，HELLO EOS创始人，被冠以“EOS奶王”称号的梓岑也通过微博表示：

不禁感叹道，EOS的名号和魅力在币圈和链圈着实响当当，连互联网巨头都来投怀送抱!

EOS币是空气币?

此消息一出，EOS价格在一小时内便下跌6.65%。而在过去的一个月，对于韭菜们来说，仿佛把一生的跌宕起伏都经历过了，先是节点竞选给EOS带来的空前关注，让EOS的价格一路飙升，接着又在利好到头的情况下一路下跌。EOS身上着实负担太重，承载着币圈所有韭菜们的梦想。

三点钟社群发起人玉红在近日举办的2018中国国际大数据产业博览会上表示，EOS是全球最大的空气币和传销币，建议买了的人，赶紧抛。

“在今年唯一确定有价值的币就是比特币，而EOS是最大的传销币。”玉红如是说。并分析了其中的原因，“一是21个超级节点。这个设计就是非常传销的设计。因为你必须身价一个亿才能玩。二是，得欺骗我很多粉丝去买。三是，很多的中产阶级和老百姓没有参与这个社群，这个很有问题。因此，我觉得EOS是全球最大的的空气币和传销币，这是我坚持的观点，你们买了赶快清仓。”

据TokenInsight 数据显示，这段时间以来，EOS日均新开户地址数均线下探至4月上旬水平，官网流量较上周下降26%，较上月下降46%，已降至今年底部。伴随代码漏洞等负面消息，EOS价格如瀑布般急剧下降。

另据交易所显示，OKEX交易所EOS的“期货交易量/持仓量”为10.75倍，远大于BTC的1.92倍和ETH的4.25倍。据BCtrend分析师介绍：通常期货持仓比例是15%~30%，即总资金的1.5倍~3倍杠杆，而EOS资金平均杠杆高达9倍。

EOS Beijing发表评论称EOS目前还在“实验阶段”，还有很多不确定性，投资者要以一颗平常心看待，切勿急功近利。

区块链安全问题刻不容缓

区块链行业的疯狂发展，引起了社会各界的注目，互联网巨头、投资人、明星等越来越多的人开始进入区块链领域，当然也有技术开发者紧密关心着区块链的安全问题，尤其360。

周鸿祎在微博表示，这一漏洞价值超过“百亿美金”。如被非法利用，可以远程攻击和接管EOS上运行的所有节点。

360用“史诗级”来形容此漏洞，足以看出此次事件对整个区块链行业的影响之大。

5月29日下午，360首席安全工程师、伏尔甘团队负责人郑文彬在媒体沟通会上介绍，5月上旬、中旬，360发现EOS网络里的安全漏洞，大概在28日下午完成漏洞验证的完整任务，28日晚接近12点把漏洞的技术细节、报告以及演示空间代码都提供给EOS负责人，EOS应该在29日凌晨时做了一些修复。

“这个漏洞，使在区块链网络里节点的电脑系统实际是被控制的，不仅可以把里面的东西都拿走，还可以控制你，想要你干什么就干什么。因为是去中心化分布式系统，把节点上传之后经过一些操作，可以把整个网络都控制，不像传统的攻击只能攻击一台电脑或让他们访问某些网络，只能攻击部分用户，EOS漏洞可以攻击整个网络，危害性非常大。”郑文彬说。

就在360发布消息之后，360又宣布与EOS达成战略合作，双方将共同携手，就区块链底层技术、区块链安全服务、区块链预言机服务以及区块链应用等领域开展深入合作，共同打造EOS超级节点安全解决方案。整个过程及其密集，事态发展之迅速让人喘不过气来。

360表示，希望通过这一漏洞的发现和披露，引起区块链业界和安全同行在这类问题的安全性上更多的重视和关注，共同增强区块链网络的安全。