大家好,我是谢幺。
这两天不少人关心【360发现数字货币史诗级漏洞】的事,作为一个网络安全科普作者,从安全媒体人的角度来聊一聊。
---
先回顾一下:
前天(5月29日)中午,奇虎360公司在其官方渠道放出一则重磅消息:【360发现区块链史诗级漏洞,可完全控制虚拟货币交易】。
所谓 “可完全控制交易”,基本可以理解为整套系统能被黑客直接玩废了。
被爆漏洞的数字货币叫 EOS(柚子),目前在数字货币里总币值排前五,超过一百亿美元。所以 360 公司老板周鸿祎在微博上就说:“这个漏洞价值百亿美元”。
值不值百亿美元我不知道,但消息像一枚原子弹落在数字货币圈,在绿油油的韭菜地里炸出了一个大坑,爆轰波瞬间冲击到每个角落。
消息出来才半小时左右,许多人开始抛售EOS,币价应声跌了7%。
于是很多人怀疑:360想故意引起市场恐慌,拉低币价,伺机做空 EOS以牟利!(考虑到隔行如隔山,这里插入个“做空”的小科普:所谓做空EOS ,简单理解就是先借来很多EOS,卖掉,等价格降低了再买回来归还,这样就能赚取一部分差价)
人们怀疑360恶意做空EOS的理由主要有二:
- 360和周鸿祎本人都使用了“很吓人”的字眼来描述漏洞,比如公告标题用了【史诗级】这个词。
- 很巧,前一天有个叫“玉红”的人在某区块链会议上说 EOS 是垃圾,建议大家赶紧抛掉。而此人系原360高级副总裁,跟360有利益纠葛。
我的朋友圈自然很快被这则“恐慌信息”攻占。
不巧,我自己之前还买了一点点 EOS,看到消息时我放下了饭碗心里一惊: “卧X大漏洞,EOS这是要凉啊!要不要我也赶紧抛掉?”
但当我反应过来几秒钟,仔细思考整件事之后,我不仅没卖,而且趁着币价下跌,又默默抄底买了一些。(本文纯讨论观点,不构成投资建议)
原因很简单:短期内,EOS 爆出安全漏洞一定会引起一部分人的恐慌,这是本能反应。但长期来看,这对整个区块链行业都是一个重大的好消息!
不管你信或不信,不妨跟随我的思路继续:
Let's Rock !
- 老周故意做空数字货币?可能性不大
我找到一张聊天记录截图,28日半夜,360 Vulcan 团队联系上了 EOS 负责人。(不想看英文的可以直接看后面的翻译)
双方没有废话直奔主题。
360:我是360的,发现 EOS 的重大漏洞,但我们已经研究出解决方案了,具体咋聊?邮件还是……
EOS :好呀好呀,项目正在测试阶段,漏洞修好之前项目不会上线,我们这就赶紧说说具体情况吧。
第二天(29日)中午12点半左右,360发出公告对外披露该事件,但没公布漏洞细节。
在我看来,这真的是个很普通的漏洞披露流程了,给谷歌苹果微软披露漏洞也基本是这流程:告知相关厂商、协助修复、对外披露整件事但是暂时并不公开任何漏洞利用细节……(具体漏洞的技术细节和时间点,我都放在今天的二条了,有兴趣一会儿可以看看)
思考题:为什么 360 不太可能恶意做空?
答:
1.做空是为了赚钱,直接把漏洞卖给黑产大佬、漏洞军火商应该也能卖个好价钱吧?
2.即便不卖漏洞,如果真要制造恐慌,360把漏洞捂在手里,等 EOS 主节点正式上线再披露漏洞,恐慌效果岂不更好?
但是以上选择他们都没选,而是直接报告给了相关负责人,这是一个专业安全团队的基本职业素养。
只可惜,相较于职业素养,阴谋论总是更容易被相信。
不仅一票人怀疑 360 恶意做空,连 EOS 的负责人后来也对媒体“委婉”表示 360 可能是想造成市场恐慌。
其实在很久以前,民间的白帽子(正义的黑客)就有这样的尴尬。他们发现一些公司的安全漏洞就跑去告诉他们,结果对方反咬一口质问:“你想干啥!你没事找我漏洞干嘛,是不是要偷我数据?小心我报警抓你!” 最后逼着一些人把漏洞捂在手里,一些人心灰意冷投入黑产。
这种情况后来随着国内漏洞披露环境和相关法律的完善,有了显著改观。但这一次360 又遭遇了“人民的质问”:你想干啥?你没事找EOS漏洞干嘛?是不是要恶意做空?!小心我让媒体曝光你!
不得不说,估计 360 Vulcan Team 这两天还挺尴尬的,好不容易做出成绩还给公司招黑……
倒不是想替360说话,这件事表面看来是人们对 360 的质疑,但背后折射出了网络安全行业之外的大众对安全行业、黑客、漏洞等方面认识的不足。
---
2. 既然不是做空,360干嘛弄出这么大动静?
很明显,360这波想顺势推一下自家安全解决方案。
还是刚才那张图:
请注意,老周的微博上来第一句就提到了一个叫“360安全大脑”的东西,他说这个大漏洞是360安全大脑发现的。
360安全大脑是何物?
两周前,360 在天津举办的世界智能大会上发布的一个产品方案。当时我去看了看,了解到的情况是,360 安全大脑将是 360 公司下一阶段的重头戏之一。限于篇幅这里就不展开,之后另开一篇给大家讲讲。
回到老周的那条微博。
打完安全大脑的广告,老周最后又补了一大段广告词:“360已经有了几个区块链安全解决方案,包括EOS超级节点安全解决方案。”
可惜人的大脑总是习惯性地只注意自己想看的,自动屏蔽其他信息。似乎大伙儿的注意力都被“史诗级”、“轰瘫数字货币体系”等词给吸引了,都没注意到老周在很用力地“卖货”。
老周今年想尝试进军区块链安全领域,而且比较急迫,这点我是亲身感受过的。
3月份时,360找浅黑科技约了一个区块链安全主题的专访,他们内部的一个研究员分享了一些区块链安全相关的知识。我当时就得到内部人员的消息称 360 在 2018 年初开始在区块链安全方面布局。
采访完之后,好几个人轮番催稿,原因都是老周很关注。
我,一个跟360没啥关系的码字人员,就这样硬生生地扑面感受到了老周对于360在区块链安全方面发出声响的急迫感……不过当时我那篇稿子里主要是传播区块链安全知识,基本没怎么提360,哈哈。有兴趣的可以看看:《跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊……》)
360 为什么着急要进军区块链安全领域,原因很简单:
- 币圈有巨大的安全需求未被填补。(后面还会讲到)
- 币圈钱多。
至于那个据说“跟360有利益纠葛的”玉红前一天刚好公开唱衰EOS,我觉得多半是时间上的巧合。
唱衰 EOS 甚至唱衰区块链的人多了去了,真不差他一个。巴菲特也经常唱衰比特币,总不能把比特币价格下跌都怪在巴菲特头上吧?
两件事发生的时间点一样,未必就有因果关系。
路上发生了一个命案,而你正好路过,别人可以怀疑你,但若有人断定就是你杀的,这人不是傻就是坏。
3. 为什么 360 要用【史诗级】这样浮夸的词?
答:很可能只是为了装逼传播效果。
【史诗级】一词是否有夸大成分?其实每个人的理解都不一样。
我最常见到这个词是在游戏里,用来形容装备稀有。《炉石传说》、《魔兽世界》、《地下城与勇士》等众多游戏都有类似说法。一般装备可以分为:初始、普通、稀有、史诗、传奇。
如果哪一天黑客发现了一套能完全控制比特币交易的漏洞,用“传奇级”来形容,我觉得很OK。
在这个基础上降一级,EOS 作为排名前五的币种,用 “史诗级” 其实并不算太夸张。
况且,国外安全社区其实经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞,而 Epic 翻译过来就是“史诗”。
一个词放在游戏里就没人吐槽,360一用就让口水淹没,或许跟招黑体质有关。
本质上来说,做技术宣传这件事可以理解为“装逼”。正所谓,虚假宣传可耻,实力装逼光荣。用技术成果来装逼这件事,虽然很多人也看不惯,但我觉得无可厚非。
哪个程序员跟同事展示自己的代码时,不想听到一句“卧槽,牛逼,好屌”,
哪家公司好不容易出了一个研究成果,会藏着掖着?大家不都在用 “X半球最好的XX、重新定义XXX、很吓人的技术” 这样的描述?
哪怕是有“寿司之神”之称的小野二郎,也会当着你的面捏寿司给你吃,然后静静观赏你把寿司一口吃掉时享受的样子。
就在360这件事之前的一天(5月27日)半夜,另一个安全团队找我说发现了智能合约漏洞,跟交易所有关,问怎么才能在合法合理的情况下打造团队影响力:
我的态度是:
装逼使人快乐,装逼是每个人的基本精神诉求和进步的动力,能用实力装逼是每个技术人的荣光。没毛病,下一题!
4. EOS 出现这么严重地漏洞,是不是要凉凉?数字货币是不是要凉了?赶紧抛?
讲真,如果出现个漏洞就要凉,整个币圈都已经投胎好几轮了。
出现过漏洞的何止 EOS ,已知的大大小小的安全事件都有90多次。
怕大家不知道区块链世界有多危险,白帽汇区块链安全研究院把这些事件按时间轴捋了一遍,还做了详细的分析报告。有兴趣的可以研究一下(www.bcsec.org),反正我是建议每个想接触数字货币的人都至少看一遍。
这里引用主要是想说明币圈的网络安全问题太多,这次 EOS 漏洞不是第一个也不是最后一个。
接受了“如今的区块链世界是个千疮百孔的世界”这个设定以后,你就会明白,
360发现 EOS 漏洞,对 EOS 是个巨大利好,对区块链行业也是个大好事!
1)一项前沿技术被黑客盯上才说明有戏
如果一项技术没有爆出过任何漏洞,原因只有一个,没人关心。反之,如果安全研究者都在研究它,哪怕发现了很多漏洞,也说明这项技术前景明朗。
特斯拉的自动驾驶汽车刚出来时,很快就让中国黑客破解了。直到现在也时不时能爆出来破解的消息,也没有多少人觉得特斯拉会因此破产,无人车技术玩不下去。
同样,人脸、指纹、声纹等生物识别曾经一度被唱衰,甚至人脸识别的漏洞还上了央视专门打假的315晚会,可是后来呢?最新的 iPhone X 用人脸识别替代了指纹识别,人脸识别技术还在张学友的演唱会里帮警察叔叔抓了很多坏人。
同样地,云计算、物联网,几乎每一样新技术的诞生,都会有一帮人以安全地名义“唱反调”:
云计算遭遇黑客攻击,可能造成大规模数据泄露
物联网遭遇客户攻击,可能让人类彻底失去隐私。
……
但是最终,这些技术经受住了安全的考验,紧接着就进入了全面应用阶段。如今区块链也是这样,越来越多的优秀安全研究团队加入区块链的行列保驾护航,在应用发布之前找出漏洞然后及时修补,这对区块链行业未来的发展究竟是好是坏,想必不难判断。
后记
今早又看到一个媒体同行在其公众号推文里写道:
“犹记当年,慢雾科技(知名区块链安全研究团队)发现了 美链BEC 的漏洞,于是美链归零了,又发现代币 SMT 的漏洞,于是 SMT 遭到史上最大的重创……作为慢雾科技的竞争对手,360发现了EOS的漏洞……”
对网络安全行业误解貌似挺深。
在此我想用一个故事回应一下,这个故事是我的黑客朋友赵武在一次区块链安全会议上讲的:
我看到一群人簇拥着一辆矿车从矿洞里开出来,车上堆满了金子,路面坑坑洼洼,轮子松垮垮,一路上颠簸掉了不少,但所有人只顾狂欢着前行,似乎没有一个人看见。
我跑过去大喊“哎——轮子松了,你们的金子都掉啦!!” 好不容易有那么一两个人回过神来对我说:“没事,我们金子多着呐哈哈!来不及解释了快上车吧……”
我想说的是,金子洒落满地的原因在于车轮和路面,而不因为有人指出来轮子和路边有问题。
指出问题,路面铺平,轮子修好,只会让这趟车走得更远。
最后再介绍一下我自己吧,我是谢幺,科技科普作者一枚,日常是把各种高大上的技术知识、黑科技讲得通俗有趣。