freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

听说 360 想引起数字货币恐慌,吓得我赶紧又买了100个币……
2018-05-31 16:42:54

大家好,我是谢幺。

这两天不少人关心【360发现数字货币史诗级漏洞】的事,作为一个网络安全科普作者,从安全媒体人的角度来聊一聊。


---


先回顾一下:


前天(5月29日)中午,奇虎360公司在其官方渠道放出一则重磅消息:【360发现区块链史诗级漏洞,可完全控制虚拟货币交易】。

所谓 “可完全控制交易”,基本可以理解为整套系统能被黑客直接玩废了。


被爆漏洞的数字货币叫 EOS(柚子),目前在数字货币里总币值排前五,超过一百亿美元。所以 360 公司老板周鸿祎在微博上就说:“这个漏洞价值百亿美元”。

值不值百亿美元我不知道,但消息像一枚原子弹落在数字货币圈,在绿油油的韭菜地里炸出了一个大坑,爆轰波瞬间冲击到每个角落。


消息出来才半小时左右,许多人开始抛售EOS,币价应声跌了7%。

于是很多人怀疑:360想故意引起市场恐慌,拉低币价,伺机做空 EOS以牟利!(考虑到隔行如隔山,这里插入个“做空”的小科普:所谓做空EOS ,简单理解就是先借来很多EOS,卖掉,等价格降低了再买回来归还,这样就能赚取一部分差价)


人们怀疑360恶意做空EOS的理由主要有二:

  1. 360和周鸿祎本人都使用了“很吓人”的字眼来描述漏洞,比如公告标题用了【史诗级】这个词。
  2. 很巧,前一天有个叫“玉红”的人在某区块链会议上说 EOS 是垃圾,建议大家赶紧抛掉。而此人系原360高级副总裁,跟360有利益纠葛。


Clipboard Image.png

(我把“吓人”的字眼用红框标记出来给大家看看)

我的朋友圈自然很快被这则“恐慌信息”攻占。

不巧,我自己之前还买了一点点 EOS,看到消息时我放下了饭碗心里一惊: “卧X大漏洞,EOS这是要凉啊!要不要我也赶紧抛掉?”


但当我反应过来几秒钟,仔细思考整件事之后,我不仅没卖,而且趁着币价下跌,又默默抄底买了一些。(本文纯讨论观点,不构成投资建议)

原因很简单:短期内,EOS 爆出安全漏洞一定会引起一部分人的恐慌,这是本能反应。但长期来看,这对整个区块链行业都是一个重大的好消息!


不管你信或不信,不妨跟随我的思路继续:


Let's Rock !


  1. 老周故意做空数字货币?可能性不大

我找到一张聊天记录截图,28日半夜,360 Vulcan 团队联系上了 EOS 负责人。(不想看英文的可以直接看后面的翻译)


Clipboard Image.png

(图片引用自公众号宅客频道)

双方没有废话直奔主题。

360:我是360的,发现 EOS 的重大漏洞,但我们已经研究出解决方案了,具体咋聊?邮件还是……


EOS :好呀好呀,项目正在测试阶段,漏洞修好之前项目不会上线,我们这就赶紧说说具体情况吧。

第二天(29日)中午12点半左右,360发出公告对外披露该事件,但没公布漏洞细节。


Clipboard Image.png

在我看来,这真的是个很普通的漏洞披露流程了,给谷歌苹果微软披露漏洞也基本是这流程:告知相关厂商、协助修复、对外披露整件事但是暂时并不公开任何漏洞利用细节……(具体漏洞的技术细节和时间点,我都放在今天的二条了,有兴趣一会儿可以看看)


思考题:为什么 360 不太可能恶意做空?


答:

1.做空是为了赚钱,直接把漏洞卖给黑产大佬、漏洞军火商应该也能卖个好价钱吧?

2.即便不卖漏洞,如果真要制造恐慌,360把漏洞捂在手里,等 EOS 主节点正式上线再披露漏洞,恐慌效果岂不更好?


但是以上选择他们都没选,而是直接报告给了相关负责人,这是一个专业安全团队的基本职业素养。

只可惜,相较于职业素养,阴谋论总是更容易被相信。


不仅一票人怀疑 360 恶意做空,连 EOS 的负责人后来也对媒体“委婉”表示 360 可能是想造成市场恐慌。

其实在很久以前,民间的白帽子(正义的黑客)就有这样的尴尬。他们发现一些公司的安全漏洞就跑去告诉他们,结果对方反咬一口质问:“你想干啥!你没事找我漏洞干嘛,是不是要偷我数据?小心我报警抓你!” 最后逼着一些人把漏洞捂在手里,一些人心灰意冷投入黑产。


这种情况后来随着国内漏洞披露环境和相关法律的完善,有了显著改观。但这一次360 又遭遇了“人民的质问”:你想干啥?你没事找EOS漏洞干嘛?是不是要恶意做空?!小心我让媒体曝光你!

不得不说,估计 360 Vulcan Team 这两天还挺尴尬的,好不容易做出成绩还给公司招黑……


倒不是想替360说话,这件事表面看来是人们对 360 的质疑,但背后折射出了网络安全行业之外的大众对安全行业、黑客、漏洞等方面认识的不足。


---


2. 既然不是做空,360干嘛弄出这么大动静?


很明显,360这波想顺势推一下自家安全解决方案。

还是刚才那张图:


Clipboard Image.png

请注意,老周的微博上来第一句就提到了一个叫“360安全大脑”的东西,他说这个大漏洞是360安全大脑发现的。


360安全大脑是何物?


两周前,360 在天津举办的世界智能大会上发布的一个产品方案。当时我去看了看,了解到的情况是,360 安全大脑将是 360 公司下一阶段的重头戏之一。限于篇幅这里就不展开,之后另开一篇给大家讲讲。


Clipboard Image.png

(台上是360首席安全官 谭晓生)

回到老周的那条微博。

打完安全大脑的广告,老周最后又补了一大段广告词:“360已经有了几个区块链安全解决方案,包括EOS超级节点安全解决方案。”


Clipboard Image.png

(潜台词是,360已经有了成吨的研究成果和解决方案,坐等币圈各路厂商来找他谈心)


可惜人的大脑总是习惯性地只注意自己想看的,自动屏蔽其他信息。似乎大伙儿的注意力都被“史诗级”、“轰瘫数字货币体系”等词给吸引了,都没注意到老周在很用力地“卖货”。

老周今年想尝试进军区块链安全领域,而且比较急迫,这点我是亲身感受过的。


3月份时,360找浅黑科技约了一个区块链安全主题的专访,他们内部的一个研究员分享了一些区块链安全相关的知识。我当时就得到内部人员的消息称 360 在 2018 年初开始在区块链安全方面布局。

采访完之后,好几个人轮番催稿,原因都是老周很关注。


Clipboard Image.png

(360某部门工作人员,应对方要求打了个码,这是第N个人第N次催)


我,一个跟360没啥关系的码字人员,就这样硬生生地扑面感受到了老周对于360在区块链安全方面发出声响的急迫感……不过当时我那篇稿子里主要是传播区块链安全知识,基本没怎么提360,哈哈。有兴趣的可以看看:《跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊……》)


360 为什么着急要进军区块链安全领域,原因很简单:


  1. 币圈有巨大的安全需求未被填补。(后面还会讲到)
  2. 币圈钱多。


至于那个据说“跟360有利益纠葛的”玉红前一天刚好公开唱衰EOS,我觉得多半是时间上的巧合。

唱衰 EOS 甚至唱衰区块链的人多了去了,真不差他一个。巴菲特也经常唱衰比特币,总不能把比特币价格下跌都怪在巴菲特头上吧?


两件事发生的时间点一样,未必就有因果关系。

路上发生了一个命案,而你正好路过,别人可以怀疑你,但若有人断定就是你杀的,这人不是傻就是坏。


3. 为什么 360 要用【史诗级】这样浮夸的词?

Clipboard Image.png

答:很可能只是为了装逼传播效果。


【史诗级】一词是否有夸大成分?其实每个人的理解都不一样。

我最常见到这个词是在游戏里,用来形容装备稀有。《炉石传说》、《魔兽世界》、《地下城与勇士》等众多游戏都有类似说法。一般装备可以分为:初始、普通、稀有、史诗、传奇。


如果哪一天黑客发现了一套能完全控制比特币交易的漏洞,用“传奇级”来形容,我觉得很OK。

在这个基础上降一级,EOS 作为排名前五的币种,用 “史诗级” 其实并不算太夸张。


况且,国外安全社区其实经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞,而 Epic 翻译过来就是“史诗”。

一个词放在游戏里就没人吐槽,360一用就让口水淹没,或许跟招黑体质有关。


本质上来说,做技术宣传这件事可以理解为“装逼”。正所谓,虚假宣传可耻,实力装逼光荣。用技术成果来装逼这件事,虽然很多人也看不惯,但我觉得无可厚非。

哪个程序员跟同事展示自己的代码时,不想听到一句“卧槽,牛逼,好屌”,


哪家公司好不容易出了一个研究成果,会藏着掖着?大家不都在用 “X半球最好的XX、重新定义XXX、很吓人的技术” 这样的描述?

哪怕是有“寿司之神”之称的小野二郎,也会当着你的面捏寿司给你吃,然后静静观赏你把寿司一口吃掉时享受的样子。


就在360这件事之前的一天(5月27日)半夜,另一个安全团队找我说发现了智能合约漏洞,跟交易所有关,问怎么才能在合法合理的情况下打造团队影响力:


Clipboard Image.png

(至于是哪个团队,本文卖个关子)

我的态度是:

装逼使人快乐,装逼是每个人的基本精神诉求和进步的动力,能用实力装逼是每个技术人的荣光。没毛病,下一题!


4. EOS 出现这么严重地漏洞,是不是要凉凉?数字货币是不是要凉了?赶紧抛?


讲真,如果出现个漏洞就要凉,整个币圈都已经投胎好几轮了。

出现过漏洞的何止 EOS ,已知的大大小小的安全事件都有90多次。


怕大家不知道区块链世界有多危险,白帽汇区块链安全研究院把这些事件按时间轴捋了一遍,还做了详细的分析报告。有兴趣的可以研究一下(www.bcsec.org),反正我是建议每个想接触数字货币的人都至少看一遍。

这里引用主要是想说明币圈的网络安全问题太多,这次 EOS 漏洞不是第一个也不是最后一个。


Clipboard Image.png

(图片截取自:白帽汇区块链安全网)


接受了“如今的区块链世界是个千疮百孔的世界”这个设定以后,你就会明白,

360发现 EOS 漏洞,对 EOS 是个巨大利好,对区块链行业也是个大好事!


1)一项前沿技术被黑客盯上才说明有戏


如果一项技术没有爆出过任何漏洞,原因只有一个,没人关心。反之,如果安全研究者都在研究它,哪怕发现了很多漏洞,也说明这项技术前景明朗。

特斯拉的自动驾驶汽车刚出来时,很快就让中国黑客破解了。直到现在也时不时能爆出来破解的消息,也没有多少人觉得特斯拉会因此破产,无人车技术玩不下去。


Clipboard Image.png

(相关新闻,图源网络)


同样,人脸、指纹、声纹等生物识别曾经一度被唱衰,甚至人脸识别的漏洞还上了央视专门打假的315晚会,可是后来呢?最新的 iPhone X 用人脸识别替代了指纹识别,人脸识别技术还在张学友的演唱会里帮警察叔叔抓了很多坏人。


Clipboard Image.png

(2017年3·15 晚会展示人脸识别漏洞)


Clipboard Image.png

(人脸识别的广泛应用)


同样地,云计算、物联网,几乎每一样新技术的诞生,都会有一帮人以安全地名义“唱反调”:

云计算遭遇黑客攻击,可能造成大规模数据泄露

物联网遭遇客户攻击,可能让人类彻底失去隐私。

……


但是最终,这些技术经受住了安全的考验,紧接着就进入了全面应用阶段。如今区块链也是这样,越来越多的优秀安全研究团队加入区块链的行列保驾护航,在应用发布之前找出漏洞然后及时修补,这对区块链行业未来的发展究竟是好是坏,想必不难判断。


后记


今早又看到一个媒体同行在其公众号推文里写道:

“犹记当年,慢雾科技(知名区块链安全研究团队)发现了 美链BEC 的漏洞,于是美链归零了,又发现代币 SMT 的漏洞,于是 SMT 遭到史上最大的重创……作为慢雾科技的竞争对手,360发现了EOS的漏洞……”


对网络安全行业误解貌似挺深。

在此我想用一个故事回应一下,这个故事是我的黑客朋友赵武在一次区块链安全会议上讲的:


我看到一群人簇拥着一辆矿车从矿洞里开出来,车上堆满了金子,路面坑坑洼洼,轮子松垮垮,一路上颠簸掉了不少,但所有人只顾狂欢着前行,似乎没有一个人看见。

我跑过去大喊“哎——轮子松了,你们的金子都掉啦!!” 好不容易有那么一两个人回过神来对我说:“没事,我们金子多着呐哈哈!来不及解释了快上车吧……”


我想说的是,金子洒落满地的原因在于车轮和路面,而不因为有人指出来轮子和路边有问题。

指出问题,路面铺平,轮子修好,只会让这趟车走得更远。




最后再介绍一下我自己吧,我是谢幺,科技科普作者一枚,日常是把各种高大上的技术知识、黑科技讲得通俗有趣。

Clipboard Image.png

# 360 # EOS
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者