周鸿祎：至今不觉得懂区块链，比较懂的就是安全

本篇文章6710字，读完约17分钟

5月29日，eos被360安全团队揭露，存在价值数百亿美元的安全漏洞。360已经计划进入区块链很久了吗？蓝港互动创始人、火星金融创始人王峰与360公司董事长周进行了对话。

在对话中，周回应说，这些漏洞被eos官员证实是真实有效的。周说，他几年前开始学习，在三点小组中没有表达自己的观点，因为他没有真正理解一些东西。最近，发现许多区块链系统、兑换系统和钱包系统存在问题。

周说，的技术很普及，但是安全问题还没有被大家重视。他认为真正的安全问题还没有出来。在网络安全行业，有两种最可怕的情况，一种是当沙漠中的鸵鸟，知道它不会改变，另一种是知道它不会爆炸，最后被利用。

关于360的布局，周表示，将主要在三个方向:数字现金钱包安全审计系统，安全态势感知系统和节点安全解决方案。安全是一件需要长期忍受孤独和努力的事情。周说，他希望360能充当的监护人和陪护人。

以下是两人对话的主要内容:

王峰:今年春节过后，3点，在微信群火热的区块链期间，你从来没有轻松表达过对区块链的看法。然而，昨天，当eos严重的安全漏洞被揭露时，360闪电击中，与货币安全、欧洲连锁、eos老茂、dbank等项目的合作在一天之内不断被宣布。为什么？看起来你已经计划了很长时间，而且还有大动作要做。

周:实际上，没花多长时间。从几年前开始，我就一直在研究区块链。我没有在3点钟小组中表达我的观点，因为我没有真正理解一些东西。

但我们是安全专家，所以在17年结束和18年开始时，我们实际上关注了区块链的安全，并开始研究区块链技术和相关的安全问题。

在这个过程中，我们已经接触和沟通了行业内的很多项目，我们的心态还是比较开放的。我们也希望大家能关注安全问题。因此，当我们主动来找我们时，我们希望能就区块链的安全问题进行一些深入的沟通，我们也非常愿意为区块链行业提供更安全的解决方案。

今后，我们一定会继续深入研究区块链安全问题，并将继续保持开放的心态。欢迎您的交流与合作。

尽管许多区块链和数字现金设计被宣传为非常安全，但任何软件系统，只要非常复杂，都会带来漏洞和漏洞。如果漏洞被利用，将会带来风险和安全问题。

区块链技术是一样的。现在天气很热，我们现在更加注意它。最近，我们发现在区块链系统，交换系统和钱包系统的许多问题。

以前每个人都关注区块链带来的商机，但很少有人关注区块链的安全问题。最近，eos已经准备好上线，这在区块链行业中极具代表性。我们发现了eos的漏洞，并将它们提交给另一方，希望敦促他们修复系统。因此，我们的安全公司有责任披露漏洞。

你认为什么都没有计划很久，也没有什么大动作。我们的重大举措是帮助区块链行业以务实的方式消除风险。

到目前为止，我不认为我了解区块链，我个人也不购买虚拟货币。看着这些群体之间的激烈讨论，每个人都在为国家和人民担忧，每个人都表达了不同的观点，如经济学家、哲学家和思想家。我真的觉得自己像个不懂的白痴。但是我们更了解的是安全性，所以我们希望与您沟通，使区块链的工业更加安全。

对于许多与我们合作的人来说，每个人都开始关注安全是一件好事。我们也非常开放。我们没有立场。对于所有玩家，我们都愿意帮助他保护用户的安全。我们希望发展区块链工业的安全生态。

王峰:你认为昨天披露的安全漏洞有多严重？为什么这个漏洞价值数百亿美元？为什么360名保安在微博上称之为史诗般的漏洞？

周·:我们没有立场。我们是中立的。我们提出任何系统的漏洞，都是为了帮助系统提高其安全性，保证其安全性，而不是攻击它。在区块链这个行业，每个人实际上都在同一条船上。作为一个新生事物，一个令人不安的全体会议会使每个人对整个行业产生质疑和失去信心，这对行业是不利的。因此，我们反对对安全问题大惊小怪，并把它们变成竞争工具。

让我先解释一下这个漏洞的用途。如果该漏洞被利用，它可以控制eos网络中的每个节点和每个服务器，因此它不仅可以接管网络中的虚拟货币、各种事务和应用程序，还可以接管节点中所有参与的服务器。获得服务器访问权限，您可以做任何您想做的事情。如果有人签订了恶意的智能合同，他们可以直接取走所有的数字现金。因此，区块链网络不会有更严重的漏洞。

让我们谈谈史诗级别。每个人都必须知道eos在区块链发展史上的重要性。如果我们说这个漏洞没有被提出，eos没有被修复，我们不能说eos是否会在一夜之间被恶意黑客发现和利用。

Eos现在至少价值100亿美元，所以我不认为这个漏洞价值100亿美元是夸大其词。此外，这实际上是我们安全圈内的一种说法，是一种半异国情调的语言。Epic是从epic翻译过来的，国外安全团体经常使用epic bug或epic未能描述主要的安全漏洞。

当然，从公共关系的角度来看，我们对史诗这个词有不同的理解，史诗这个词在文艺界还太年轻。因此，如果我们谈论数百亿美元的漏洞，我们会不会觉得更有根据呢？因为许多标题党被滥用时，他们害怕小便，哭，软化和崩溃，他们使用了史诗级。事实上，数百亿美元的水平是最好的。

王峰:今天一大早，eos创始人bm的回应暗示，360制造了恐慌，并宣布将取消任何引发市场恐慌行为的奖励资格。你觉得这个怎么样？

周:没问题。慢慢来。让子弹飞一会儿。你说的消息不是最新的。慢慢说。

我还需要向每个人普及一个关于修理过的东西的知识，就是说，在我们公开之前，我们必须先与对方沟通并提交给对方进行修理。因为如果eos没有被修复，我们将宣布它，而且肯定会有一大群黑客马上去操他们，所以当然，我们会在修复时间之后发布报告。

这不仅对eos是一样的，对微软、谷歌和苹果也是一样的。对于安全漏洞，通常的步骤是:首先，挖掘漏洞，然后研究它们将如何被黑客使用，彻底研究这些研究，然后向相关制造商报告。例如，在这个状态方程中，我们向对方报告了如何使用视频和相关的详细代码，然后对方修复了它们。在对方确认修复后，我们会将其公之于众。

Bm的反应有点令人困惑。在我们报告之前，它们似乎已经修好了。事实上，我们遵循了负责任的行业标准流程，即报告->修复->公开。

具体来说，我们首先私下联系bm，告知他们eos的漏洞，希望他们能先修复它，所有这些都有聊天记录的截图，当eos修复后，我们会发布这个漏洞公告。

今天，我们继续互相交流，对方感谢我们，还说会给我们一个漏洞奖金，他们会互相感谢。

这也是安全领域的常见做法。如果对方不修复，我们不会宣布。我们一直在和bm单独沟通。他电报上的信息截图是昨晚的，被断章取义了。事实上，在那条消息之后，他很快回答说这个漏洞是真实有效的，但是它被截获了一点。

至于制造恐慌，如果我们想制造恐慌并直接在网上发布，恐慌效果肯定会比现在好得多。

让我再次强调，eos官员确认我们提交的漏洞是真实和有效的，我们一直在与eos官员和bm沟通有关漏洞的提交和特征。此外，今天早上与bm沟通时，他们仍然非常认同我们的成就和技术实力。

在整个过程中，360非常负责，严格遵循证券行业的安全披露原则。作为中国最大的安全供应商和世界三大安全供应商，我们希望与全球同行和技术公司合作，解决网络安全问题，减少网络安全问题对用户造成的损害。帮助每个人发现并修补漏洞，为用户提供安全可靠的产品是我们的共同责任。区块链是一个新的技术方向，我们也参与其中。无论是eos漏洞的披露，还是之前与其他区块链机构的沟通，我们都希望与您合作，共同确保区块链产品和服务的安全。

王峰:根据360安全技术团队的说法，eos曙光4.0的公网版可以推迟发布吗？

周:我觉得应该推迟上线。我们的安全团队仍在发现一些eos漏洞，我们将尽快提交给他们。我们建议在上线前修复它们。

王峰:eos漏洞的发布让火神(vulcan)团队在第一次世界大战中一举成名，但是之前业界关于他们的消息很少，大家对他们还是很陌生的。你能详细告诉我们吗？据说你和eos将很快合作公布。你在这里透露方便吗？

周·:你提到的行业肯定不在安全圈之内。360瓦肯团队在安全圈里，每个人都或多或少应该知道。瓦肯是我们360名保安的第一个攻防研究小组。有一年，他们打算参加pwn2own，这是一个强大的世界黑客竞赛。他们想参加这种比赛，所以他们组成了一个小组，即火神队。

他们在攻击和防御研究、挖掘供应商漏洞以及帮助供应商修复漏洞方面非常强大。在上面的照片中，他们应该合作参加pwn2own 2015，它用了17秒的时间突破了微软的ie11，并且是历史上第一个成功突破ie的亚洲团队。在pwn2own黑客大赛中，瓦肯团队多年来赢得了十多个冠军，甚至在2017年pwn2own赢得了世界冠军。所以在圈子里，对他们来说绝对不陌生。

Vulcan参加了pwn2own2017，并获得了pwn大师赛冠军。

与bm团队的联系是我们安全团队的直接联系和沟通，最早的时间应该是28日。目前，我们与eos没有直接合作，区块链安全一直是我们关注的问题。此外，360也是一个互联网技术企业，像eos，这是一个主要的公共链，我们一直在投资技术研究。今年以来，我们与一些合作伙伴就eos生态建设、安全保护、主要节点竞争等问题进行了交流和探讨。

王峰:让我们正视阴谋论。虽然我不相信，但有传言说360和一些组织正在空eos.做抱歉，我不得不问这个问题，因为在中国有很多eos超级节点的参与者，其中很多都是eos的热心支持者。昨天，360暴露了安全漏洞，这引起了各种猜测和嘘声，一些小组的朋友问了这个问题。

周鸿祎:从我们披露漏洞的时候起，我们就应该知道我们绝对不是在做空.如果我真的想恶意做空，我可以完全掩盖它，等待eos的主要在线线路直接爆炸。我们现在在做什么？这是一种安全行业标准的漏洞通知机制。首先联系eos团队并提交漏洞的详细信息是非常负责任的，然后我们会在他们修复漏洞后宣布。我们希望eos，甚至整个区块链的工业能发展得更好。

王峰:你认为区块链企业应该采取什么措施来加强区块链的安全？

周:在方面，我认为真正的安全问题还没有出来。通过此次eos漏洞的披露，我们希望大家能够关注区块链的安全问题。在网络安全行业，有两种最可怕的情况，一种是成为沙漠中的鸵鸟，另一种是知道它不会出来并最终被利用。这两个是最可怕的。最近，我还提到了一个叫做大安全的概念。简而言之，网络安全的影响已经从最初的简单信息安全发展到现在。从在线到离线，它将受到网络攻击的威胁，新的威胁也在增加。区块链作为一种新技术，在过去的两年中，遇到了安全威胁，我也将其归类为一种新的威胁。

在这种情况下，依靠一个企业，例如在区块链行业，你自己的安全保护能力肯定是有限的，相反，依靠一个像360这样的安全公司是不够的，所以整个安全行业需要发展。因此，区块链行业应该能够与网络安全行业合作并开放，每个人都应该一起这样做。你的上一个区块链项目，区块链本身，王峰，你肯定比我更了解，但是我的人在安全问题上肯定更专业，所以如果我们为你做安全测试，安全风险会降低很多吗？

我们必须记住，有一个说法，没有牢不可破的网络，只有未发现的漏洞，或发现未披露，没有网络没有漏洞。因此，我们希望区块链业界和其他行业都能正视网络安全的重要性。

在实践中，除了利用外部公司在网络安全行业的优势，正如我刚才所说，您还可以制定一些漏洞奖励计划，以便整个安全社区可以帮助您解决安全问题。每年，我们帮助谷歌、微软和苹果解决许多问题，他们都有自己的漏洞奖励计划来奖励提交漏洞的团队。

王峰:如果360进入区块链行业，360的机遇在哪里？您如何评价数字现金证券交易所在区块链行业中的核心地位？

周·:我们现在关注的是，介入问题，而且肯定会把重点放在安全上。安全问题不在于我们这次披露了它，它将在繁忙的一天后结束。我希望每个人都记得eos不是最后一个，当然也不是最严重的一个。未来，区块链行业将会出现更多的安全问题，区块链行业也将会遇到传统互联网领域遇到的安全问题。这是我们的机会。当然，我们也有信心和力量承担责任，保障区块链工业的健康、稳定和安全发展。

王峰:你能介绍一下区块链证券360的布局和方案吗，比如说，如何做交易安全？如何确保矿井安全？智能合同的安全性如何？

周·:过去，360是朝方向的，我们的安全小组非常仔细地研究了很多，并采取了一些解决办法。未来我们将推出三个基于区块链安全生态的系统，包括数字现金钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

首先是数字现金钱包安全审计系统，它将详细列出一些审计要点，并说明如何制作一个更安全的数字钱包，从而保证用户财产的安全。二是区块链安全态势感知系统，该系统基于360安全大脑，可以自动监控异常块、异常交易、异常地址和智能合同，不仅可以最大限度地降低交易风险，还可以追踪非法数字现金。最后一个是区块链节点安全解决方案，目前主要针对eos。

王峰:未来几年，在个人电脑互联网时代，会不会出现像360这样有影响力的安全企业？在区块链时代，360安全产品能完全开源吗？

周·:在行业会有360吗？我认为这不会发生。区块链问题的解决将是工业化的。360肯定会是其中的主力，但它不会像pc时代那样引人注目。将会有许多企业和个人从事保安工作，以确保区块链的安全。

王峰:360定义的证券业务的边界是什么？360定义的安全业务的边界是什么？人工智能/物联网/区块链？

周:我们关注的是人工智能还是。事实上，人工智能和区块链都有一个共同点，那就是人工智能算法和区块链算法都需要通过编写代码来实现，代码都是人写的，所以肯定会有漏洞。我以前见过数据。在开源软件中，平均每千行有6-8个安全漏洞。

因此，对于新事物，不管是新技术还是别的什么，当看到好的一面时，作为一名安全工作者，我会无意识地看到它们潜在的安全风险。从事安全工作的人更像守门人，他们应该始终保持一颗怀疑的心和警惕的心。关于边界，我们现在正进入一个大的安全时代。对于云计算、大数据、人工智能和物联网等新技术的发展，网络安全不是最初的信息安全，而是来自个人信息安全和金融。安全、家庭安全、旅行安全、企业安全、社会公共安全、国家信息基础设施安全、政治安全和军事安全。

因此，我不认为证券业务的边界可以关闭。在网络安全行业，会出现越来越多的安全问题，这对360来说是一个挑战，但对我们来说也是一个机遇。

从一个企业家的角度，或者从一个企业经营者的角度，一个企业不应该死在一件事情上。我们的核心是安全基因。基于此，我们的边界是有限无限边界。

王峰:在移动互联网时代，今天的头条、小米科技、美团点评等都迅速上升。不像个人电脑互联网时代，它采取先发优势，360的优势并不明显。这会让你感到失落吗？我们都知道你是一个拒绝承认失败的人。这将是360有朝一日进入区块链的巨大推动力吗？

周:其实，在安防行业，说是去年5月的ransomware，还是昨天的eos漏洞，整个行业马上就关注你了，这也很让人兴奋。

但同时，事实上，从事安全工作是一件需要长期忍受孤独和努力的事情。例如，我上面说瓦肯人参加了黑客竞赛，在11秒内破解了ie11，但在此之前，你无法想象他们花了多少时间破解代码。然后，我停止了竞争。虽然我帮助微软帮助谷歌帮助苹果修补了许多漏洞，但你不知道我们更像是一群守护者，站在你身后的人。

当时，在个人电脑时代，病毒木马非常猖獗。我们顺应潮流，用360个保安和360个杀毒解决了安全问题，可能会得到更多关注。但是在移动互联网时代，我们实际上做了很多事情。你可以看看谷歌去年的致谢名单。在安卓系统上，我们帮助谷歌修复了200多个漏洞，排名世界第一，是第二名的三倍。除了这类工作，我们还与公安部门合作，比如推出一个网络搜索平台来打击电信电话网络诈骗。这些事情可能不像那些日子那样令人兴奋，但我认为我们已经做了一些非常有价值的事情，从内心来说，我们仍然很自豪。

近年来，我们积累了很多原创的核心技术。例如，上面提到的安全大脑实际上是我们多年技术积累的结晶。360安全大脑网络安全空大数据，现在是世界上最大的。由于有了这些大数据和数据中心，360安全大脑现在在态势感知、智能杀伤、攻击和防御以及可追溯性(包括应急响应)方面非常有竞争力。

我不承认失败，但我不是说我必须进入区块链什么的，而是说在伟大安全的新时代，我希望继续扮演360安全卫士的角色。区块链申请后，可能会有很多方面深入生活和生产。作为中国最大的安全公司，360当然希望成为保护区块链申请的监护人。(资料来源:火星金融)

来源：搜狐微门户