链闻 ChainNews：
由于时差原因，360 官方发布消息时，EOS 技术团队无法及时回复，事件在不确定性当中继续发酵。尽管并未发生实质安全事故，但 EOS 价格在市场恐慌情绪中持续下跌，全球市场平均跌幅达 8%。

5 月 29 日，互联网公司 360 霸占了所有区块链媒体的头条，不仅成功吸引了用户眼球，市场行情也跟着跌宕起伏了一把。社区认为，这可以看作是 360 高调宣布入局区块链的里程碑事件。

事件起源于微博账号「360 安全卫士」中午发布的一则消息。消息称，360 公司 Vulcan （伏尔甘）团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证，其中部分漏洞可以在 EOS 节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管 EOS 上运行的所有节点。该漏洞的重要性在于，这是在智能合约虚拟机中发现的新型安全漏洞，360 团队称：360 发现区块链史诗级漏洞。

不过，EOS 开发者 BM （Daniel Larimer）昨天深夜回复：在 360 官方发布消息前，该漏洞已被修复。

一个已被修复的漏洞是如何发酵成新闻头条的？

由于时差原因，360 官方发布消息时，EOS 技术团队无法及时回复，事件在不确定性当中继续发酵。尽管并未发生实质安全事故，但 EOS 价格在市场恐慌情绪中持续下跌，全球市场平均跌幅达 8%。

新闻发布几小时后，EOS 运营公司 Block.one CEO Brendan Blumer 在电报群中做出回应：

尽管我们的开发团队还正在睡觉，Block.one 已经在关注所有正在被报道的事情。我们对公众的持续审查表示感谢，这也是开放源码项目能够如此强大的原因所在。让我们来关注于如何构建一个更安全的互联网以及其他建设性的事情之上；我们都感到非常激动。

而直到新闻发布接近十小时后，BM 才在电报群表示，

中国的漏洞新闻是一个 FUD （可理解为制造恐慌），在新闻发布前，漏洞已经全部被修复。制造恐慌传播的 bug 提交者将会失去获取赏金和认可的资格。

尽管在 360 发布消息之前，该漏洞已被修复，但 360 官方发布的稿件中却淡化了这点。在从消息发出，EOS 团队无法及时回应的几个小时里，社区对漏洞事实的判断存在极大不确定性，EOS 市值从 104 亿美元缩水至 97 亿美元。

360 是如何发现 EOS 漏洞的？

下午，360 安全团队的 Yuki Chen 和 Zhiniang Peng 在奇虎 360 技术博客中公布了发现 EOS 该漏洞并报告给 EOS 技术团队的过程。节选编译如下：

漏洞描述：
在解析 WASM 文件时，我们发现并成功地利用了 EOS 的缓冲区溢出写入漏洞。
通过这个漏洞，攻击者可以在节点服务器解析合约后，将恶意智能合约上传到节点服务器，节点服务器就会解析这个恶意合约，然后恶意合约就会在服务器上被执行，再控制该节点服务器。
在控制了节点服务器之后，攻击者可以将恶意合约打包到新的块中，并进一步控制 EOS 网络的所有节点。

该报告还显示，漏洞发现的时间为 5 月 11 日，360 安全团队于 5 月 29 日与 EOS 团队进行了沟通，EOS 团队修复了 GitHub 上的漏洞，5 月 29 日，注意到该漏洞并未修复完成。

在报告内附的 360 安全团队与 BM 的对话截图中可以得知，在知晓了该漏洞存在后，BM 表示不会在漏洞修复完成之前发布 EOS 主网。同时希望 360 团队私下将漏洞报告给他，因为有些人正在使用公共测试网络。聊天截图的最后显示，该漏洞已被修复。

存在「史诗级漏洞」的 EOS 有归零风险吗？

360 官方团队发布的消息用「史诗级」描述了该漏洞，并称「足以轰瘫整个数字货币体系」，「可完全控制虚拟货币交易」。

该事件引发了社区的热烈讨论。慢雾科技联合创始人余弦谈到，360 发现的这个漏洞确实很严重，本质应该就是：恶意合约-> 合约虚拟机穿透-> 控制服务器。同时，他还透露了 EOS 超级节点攻击的几个入口，包括：1. P2P 端口；2. RPC 端口；3. 恶意智能合约；4. 服务器与集群等其他缺陷；5. 人员安全缺陷。

所谓「史诗级」漏洞的影响到底有多大？随着恐慌情绪在社区发酵，关于 EOS 归零的言论甚嚣尘上。参与 EOS 超级节点的欧链科技告诉巴比特，「EOS 不会归零，」同时，欧链科技肯定了 360 公布此漏洞的态度，并认为这是对 EOS 甚至未来区块链安全的长久利好。

a) 首先漏洞在 EOS 正式上线前公布，避免了 EOS 上线后被 0day 攻击的可能。可以设想，如果这个漏洞被其他的黑客首先发现或者利用，会对整个项目产生不可挽回的破坏。
b) 在 EOS 官方尚未对该漏洞进行恢复前，360 并未公布太多该漏洞的细节，也避免了这一漏洞被恶意利用的可能。
c) 目前 360 这样巨大体量的安全公司开始以公益性的方式接入到 EOS 等公链项目，正标志着传统互联网的安全技术公司开始重视并介入到区块链领域。这对于未来区块链尤其是公链项目的安全会是一个长久的利好。

不过，社区也有部分意见认为，360 官方对该漏洞的评价过于严重，不乏有借势炒作之嫌。

比原链创始人段新星发布微博评价：

大致看了下，就是一个利用数组越界漏洞可导致内存溢出，获得超级权限覆盖掉 WASM，填写新的可执行代码进去，进行恶意操作。这种漏洞很常见的，怎么就变成史诗级的了。BM 第一次是加了 Assert 判定检查（很遗憾失效了，可能哪儿没修干净）其实也可以包一个安全函数来操作，我觉得这个漏洞倒不难改。

CSDN 副总裁孟岩在公开采访时表示，

该事件体现了 360 安全团队的实力，也能帮助全球区块链技术社区审视同质化区块链网络的固有问题。但 360 的宣布用词夸张，公关渲染痕迹严重，如果能够平实一些，细节多一些会更好。

「史诗级」营销：360 是最大赢家？

一片慌乱中，事件的另一方 360，已经为自己赚足了眼球。

下午，360 公司董事长兼 CEO 周鸿祎发布微博称，360 已经做了 EOS 超级节点安全解决方案，

360 安全大脑发现的区块链漏洞，价值超过「百亿美金」，如果被非法利用，可以远程攻击控制和接管 EOS 上运行的所有节点，严重情况下，EOS 乃至整个虚拟货币市场都会遭遇滑铁卢。360 从年初开始，已经在区块链安全方面做了很多研究，已经做了几个区块链安全解决方案，也包括 EOS 超级节点安全解决方案。

随后，当天下午，多家区块链相关公司相继宣布与 360 达成合作：

欧链科技将与 360 合作，利用 360 安全大脑，共同打造 EOS 超级节点安全解决方案，合作内容包括 360 安全大脑向欧链科技提供区块链安全技术，以及提供区块链安全服务等；

EOSLaoMao 也宣布与 360 达成战略合作，共同成立研发团队，在网络安全维护、攻落攻击预警方面做努力；

币安宣布与 360 达成安全方面深度合作，360 将为币安提供一系列智能合约代码审计服务和长期安全检测服务。

同期，360 在北京总部召开了有关 EOS 此次漏洞的媒体沟通会，分析了漏洞细节，对漏洞攻击进行了现场展示，并表示已经给 20 多个钱包进行了检测，发现 80% 的钱包都存在或多或少的漏洞。在此之前，360 已经提交了门罗币的漏洞，过几天还会提交以太坊的漏洞。

晚间，据媒体消息，360 宣布将依托 360 安全大脑积累，在物理安全、平台安全、网络安全、系统安全、应用安全和数据安全六方面进行防御部署。

360 在短短一个下午完成了披露提供 EOS 超级节点安全解决方案，组织漏洞分析媒体沟通会，以及公告与多家区块链行业企业达成安全方面的合作。此举被认为是 360 借势为进军区块链做了一场免费又声势浩大的「史诗级」营销。

区块链安全是一个值得深入探讨并重视的话题。区块链开发过程中存在 bug 在所难免，项目团队应及时自查，发现修补，投资者也无须过度恐慌。同时，借势营销应当有度，不应以扰乱市场为代价。

不过，360 此番借势营销的本质，可以视为传统互联网领域有巨大体量的安全技术公司已经正式介入区块链。尽管半个区块链社区都为 EOS 揪了一把心，但长远来看，对 EOS 乃至整个区块链生态建设未尝不是一件好事。

不过眼下，社区更关心的问题可能是，在该事件影响下，EOS 主网上线会否推迟？你怎么看？

链闻 ChainNews：有谣言买入，有新闻卖出。

原文作者：萌大大
链闻编辑：Mr Rochester
版权声明：文章为作者独立观点，不代表 链闻 ChainNews 立场。