聽說 360 想引起數字貨幣恐慌,嚇得我趕緊又買了100個幣……

聽說 360 想引起數字貨幣恐慌,嚇得我趕緊又買了100個幣……

來自專欄淺黑科技

大家好,我是謝幺。

這兩天不少人關心【360發現數字貨幣史詩級漏洞】的事,作為一個網路安全科普作者,從安全媒體人的角度來聊一聊。

---

先回顧一下:

前天(5月29日)中午,奇虎360公司在其官方渠道放出一則重磅消息:【360發現區塊鏈史詩級漏洞,可完全控制虛擬貨幣交易】

所謂 「可完全控制交易」,基本可以理解為整套系統能被黑客直接玩廢了。

被爆漏洞的數字貨幣叫 EOS(柚子),目前在數字貨幣里總幣值排前五,超過一百億美元。所以 360 公司老闆周鴻禕在微博上就說:「這個漏洞價值百億美元」。

值不值百億美元我不知道,但消息像一枚原子彈落在數字貨幣圈,在綠油油的韭菜地里炸出了一個大坑,爆轟波瞬間衝擊到每個角落。

消息出來才半小時左右,許多人開始拋售EOS,幣價應聲跌了7%。

於是很多人懷疑:360想故意引起市場恐慌,拉低幣價,伺機做空 EOS以牟利!(考慮到隔行如隔山,這裡插入個「做空」的小科普:所謂做空EOS ,簡單理解就是先借來很多EOS,賣掉,等價格降低了再買回來歸還,這樣就能賺取一部分差價

人們懷疑360惡意做空EOS的理由主要有二:

  1. 360和周鴻禕本人都使用了「很嚇人」的字眼來描述漏洞,比如公告標題用了【史詩級】這個詞。
  2. 很巧,前一天有個叫「玉紅」的人在某區塊鏈會議上說 EOS 是垃圾,建議大家趕緊拋掉。而此人系原360高級副總裁,跟360有利益糾葛。

(我把「嚇人」的字眼用紅框標記出來給大家看看)

我的朋友圈自然很快被這則「恐慌信息」攻佔。

不巧,我自己之前還買了一點點 EOS,看到消息時我放下了飯碗心裡一驚: 「卧X大漏洞,EOS這是要涼啊!要不要我也趕緊拋掉?」

但當我反應過來幾秒鐘,仔細思考整件事之後,我不僅沒賣,而且趁著幣價下跌,又默默抄底買了一些。(本文純討論觀點,不構成投資建議)

原因很簡單:短期內,EOS 爆出安全漏洞一定會引起一部分人的恐慌,這是本能反應。但長期來看,這對整個區塊鏈行業都是一個重大的好消息!

不管你信或不信,不妨跟隨我的思路繼續:

Lets Rock !

  1. 老周故意做空數字貨幣?可能性不大

我找到一張聊天記錄截圖,28日半夜,360 Vulcan 團隊聯繫上了 EOS 負責人。(不想看英文的可以直接看後面的翻譯)

(圖片引用自公眾號宅客頻道)

雙方沒有廢話直奔主題。

360:我是360的,發現 EOS 的重大漏洞,但我們已經研究出解決方案了,具體咋聊?郵件還是……

EOS :好呀好呀,項目正在測試階段,漏洞修好之前項目不會上線,我們這就趕緊說說具體情況吧。

第二天(29日)中午12點半左右,360發出公告對外披露該事件,但沒公布漏洞細節。

在我看來,這真的是個很普通的漏洞披露流程了,給谷歌蘋果微軟披露漏洞也基本是這流程:告知相關廠商、協助修復、對外披露整件事但是暫時並不公開任何漏洞利用細節……(具體漏洞的技術細節和時間點,我都放在今天的二條了,有興趣一會兒可以看看)

思考題:為什麼 360 不太可能惡意做空?

答:

1.做空是為了賺錢,直接把漏洞賣給黑產大佬、漏洞軍火商應該也能賣個好價錢吧?

2.即便不賣漏洞,如果真要製造恐慌,360把漏洞捂在手裡,等 EOS 主節點正式上線再披露漏洞,恐慌效果豈不更好?

但是以上選擇他們都沒選,而是直接報告給了相關負責人,這是一個專業安全團隊的基本職業素養。

只可惜,相較於職業素養,陰謀論總是更容易被相信。

不僅一票人懷疑 360 惡意做空,連 EOS 的負責人後來也對媒體「委婉」表示 360 可能是想造成市場恐慌。

其實在很久以前,民間的白帽子(正義的黑客)就有這樣的尷尬。他們發現一些公司的安全漏洞就跑去告訴他們,結果對方反咬一口質問:「你想幹啥!你沒事找我漏洞幹嘛,是不是要偷我數據?小心我報警抓你!」 最後逼著一些人把漏洞捂在手裡,一些人心灰意冷投入黑產。

這種情況後來隨著國內漏洞披露環境和相關法律的完善,有了顯著改觀。但這一次360 又遭遇了「人民的質問」:你想幹啥?你沒事找EOS漏洞幹嘛?是不是要惡意做空?!小心我讓媒體曝光你!

不得不說,估計 360 Vulcan Team 這兩天還挺尷尬的,好不容易做出成績還給公司招黑……

倒不是想替360說話,這件事表面看來是人們對 360 的質疑,但背後折射出了網路安全行業之外的大眾對安全行業、黑客、漏洞等方面認識的不足。

---

2. 既然不是做空,360幹嘛弄出這麼大動靜?

很明顯,360這波想順勢推一下自家安全解決方案

還是剛才那張圖:

請注意,老周的微博上來第一句就提到了一個叫「360安全大腦」的東西,他說這個大漏洞是360安全大腦發現的

360安全大腦是何物?

兩周前,360 在天津舉辦的世界智能大會上發布的一個產品方案。當時我去看了看,了解到的情況是,360 安全大腦將是 360 公司下一階段的重頭戲之一。限於篇幅這裡就不展開,之後另開一篇給大家講講。

(台上是360首席安全官 譚曉生)

回到老周的那條微博。

打完安全大腦的廣告,老周最後又補了一大段廣告詞:「360已經有了幾個區塊鏈安全解決方案,包括EOS超級節點安全解決方案。

(潛台詞是,360已經有了成噸的研究成果和解決方案,坐等幣圈各路廠商來找他談心)

可惜人的大腦總是習慣性地只注意自己想看的,自動屏蔽其他信息。似乎大伙兒的注意力都被「史詩級」、「轟癱數字貨幣體系」等詞給吸引了,都沒注意到老周在很用力地「賣貨」。

老周今年想嘗試進軍區塊鏈安全領域,而且比較急迫,這點我是親身感受過的。

3月份時,360找淺黑科技約了一個區塊鏈安全主題的專訪,他們內部的一個研究員分享了一些區塊鏈安全相關的知識。我當時就得到內部人員的消息稱 360 在 2018 年初開始在區塊鏈安全方面布局。

採訪完之後,好幾個人輪番催稿,原因都是老周很關注

(360某部門工作人員,應對方要求打了個碼,這是第N個人第N次催)

我,一個跟360沒啥關係的碼字人員,就這樣硬生生地撲面感受到了老周對於360在區塊鏈安全方面發出聲響的急迫感……不過當時我那篇稿子里主要是傳播區塊鏈安全知識,基本沒怎麼提360,哈哈。有興趣的可以看看:《跟一個搞網路安全的聊完數字貨幣,我喝了口茶壓壓驚……》)

360 為什麼著急要進軍區塊鏈安全領域,原因很簡單:

  1. 幣圈有巨大的安全需求未被填補。(後面還會講到)
  2. 幣圈錢多。

至於那個據說「跟360有利益糾葛的」玉紅前一天剛好公開唱衰EOS,我覺得多半是時間上的巧合。

唱衰 EOS 甚至唱衰區塊鏈的人多了去了,真不差他一個。巴菲特也經常唱衰比特幣,總不能把比特幣價格下跌都怪在巴菲特頭上吧?

兩件事發生的時間點一樣,未必就有因果關係。

路上發生了一個命案,而你正好路過,別人可以懷疑你,但若有人斷定就是你殺的,這人不是傻就是壞。

3. 為什麼 360 要用【史詩級】這樣浮誇的詞?

答:很可能只是為了裝逼傳播效果。

【史詩級】一詞是否有誇大成分?其實每個人的理解都不一樣。

我最常見到這個詞是在遊戲里,用來形容裝備稀有。《爐石傳說》、《魔獸世界》、《地下城與勇士》等眾多遊戲都有類似說法。一般裝備可以分為:初始、普通、稀有、史詩、傳奇。

如果哪一天黑客發現了一套能完全控制比特幣交易的漏洞,用「傳奇級」來形容,我覺得很OK。

在這個基礎上降一級,EOS 作為排名前五的幣種,用 「史詩級」 其實並不算太誇張。

況且,國外安全社區其實經常用「Epic bug」或者「Epic fail」來形容比較重大的安全漏洞,而 Epic 翻譯過來就是「史詩」。

一個詞放在遊戲里就沒人吐槽,360一用就讓口水淹沒,或許跟招黑體質有關。

本質上來說,做技術宣傳這件事可以理解為「裝逼」。正所謂,虛假宣傳可恥,實力裝逼光榮。用技術成果來裝逼這件事,雖然很多人也看不慣,但我覺得無可厚非。

哪個程序員跟同事展示自己的代碼時,不想聽到一句「卧槽,牛逼,好屌」,

哪家公司好不容易出了一個研究成果,會藏著掖著?大家不都在用 「X半球最好的XX、重新定義XXX、很嚇人的技術」 這樣的描述?

哪怕是有「壽司之神」之稱的小野二郎,也會當著你的面捏壽司給你吃,然後靜靜觀賞你把壽司一口吃掉時享受的樣子。

就在360這件事之前的一天(5月27日)半夜,另一個安全團隊找我說發現了智能合約漏洞,跟交易所有關,問怎麼才能在合法合理的情況下打造團隊影響力:

(至於是哪個團隊,本文賣個關子)

我的態度是:

裝逼使人快樂,裝逼是每個人的基本精神訴求和進步的動力,能用實力裝逼是每個技術人的榮光。沒毛病,下一題!

4. EOS 出現這麼嚴重地漏洞,是不是要涼涼?數字貨幣是不是要涼了?趕緊拋?

講真,如果出現個漏洞就要涼,整個幣圈都已經投胎好幾輪了。

出現過漏洞的何止 EOS ,已知的大大小小的安全事件都有90多次。

怕大家不知道區塊鏈世界有多危險,白帽匯區塊鏈安全研究院把這些事件按時間軸捋了一遍,還做了詳細的分析報告。有興趣的可以研究一下(bcsec.org),反正我是建議每個想接觸數字貨幣的人都至少看一遍。

這裡引用主要是想說明幣圈的網路安全問題太多,這次 EOS 漏洞不是第一個也不是最後一個。

(圖片截取自:白帽匯區塊鏈安全網)

接受了「如今的區塊鏈世界是個千瘡百孔的世界」這個設定以後,你就會明白,

360發現 EOS 漏洞,對 EOS 是個巨大利好,對區塊鏈行業也是個大好事!

1)一項前沿技術被黑客盯上才說明有戲

如果一項技術沒有爆出過任何漏洞,原因只有一個,沒人關心。反之,如果安全研究者都在研究它,哪怕發現了很多漏洞,也說明這項技術前景明朗。

特斯拉的自動駕駛汽車剛出來時,很快就讓中國黑客破解了。直到現在也時不時能爆出來破解的消息,也沒有多少人覺得特斯拉會因此破產,無人車技術玩不下去。

(相關新聞,圖源網路)

同樣,人臉、指紋、聲紋等生物識別曾經一度被唱衰,甚至人臉識別的漏洞還上了央視專門打假的315晚會,可是後來呢?最新的 iPhone X 用人臉識別替代了指紋識別,人臉識別技術還在張學友的演唱會裡幫警察叔叔抓了很多壞人。

(2017年3·15 晚會展示人臉識別漏洞)

(人臉識別的廣泛應用)

同樣地,雲計算、物聯網,幾乎每一樣新技術的誕生,都會有一幫人以安全地名義「唱反調」:

雲計算遭遇黑客攻擊,可能造成大規模數據泄露

物聯網遭遇客戶攻擊,可能讓人類徹底失去隱私。

……

但是最終,這些技術經受住了安全的考驗,緊接著就進入了全面應用階段。如今區塊鏈也是這樣,越來越多的優秀安全研究團隊加入區塊鏈的行列保駕護航,在應用發布之前找出漏洞然後及時修補,這對區塊鏈行業未來的發展究竟是好是壞,想必不難判斷。

後記

今早又看到一個媒體同行在其公眾號推文里寫道:

「猶記當年,慢霧科技(知名區塊鏈安全研究團隊)發現了 美鏈BEC 的漏洞,於是美鏈歸零了,又發現代幣 SMT 的漏洞,於是 SMT 遭到史上最大的重創……作為慢霧科技的競爭對手,360發現了EOS的漏洞……」

對網路安全行業誤解貌似挺深。

在此我想用一個故事回應一下,這個故事是我的黑客朋友趙武在一次區塊鏈安全會議上講的:

我看到一群人簇擁著一輛礦車從礦洞里開出來,車上堆滿了金子,路面坑坑窪窪,輪子松垮垮,一路上顛簸掉了不少,但所有人只顧狂歡著前行,似乎沒有一個人看見。

我跑過去大喊「哎——輪子鬆了,你們的金子都掉啦!!」 好不容易有那麼一兩個人回過神來對我說:「沒事,我們金子多著吶哈哈!來不及解釋了快上車吧……」

我想說的是,金子灑落滿地的原因在於車輪和路面,而不因為有人指出來輪子和路邊有問題。

指出問題,路面鋪平,輪子修好,只會讓這趟車走得更遠。

最後再介紹一下我自己吧,我是謝幺,科技科普作者一枚,日常是把各種高大上的技術知識、黑科技講得通俗有趣。如果有什麼有意思的科技類問題,可以在知乎@謝幺,或者加我的個人微信:dexter0

不想走丟的話,請關注【淺黑科技】


推薦閱讀:

TAG:比特幣Bitcoin | 貨幣 | EOS |