聽說 360 想引起數字貨幣恐慌，嚇得我趕緊又買了100個幣……

來自專欄淺黑科技

大家好，我是謝幺。

這兩天不少人關心【360發現數字貨幣史詩級漏洞】的事，作為一個網路安全科普作者，從安全媒體人的角度來聊一聊。

---

先回顧一下：

前天（5月29日）中午，奇虎360公司在其官方渠道放出一則重磅消息：【360發現區塊鏈史詩級漏洞，可完全控制虛擬貨幣交易】。

所謂 「可完全控制交易」，基本可以理解為整套系統能被黑客直接玩廢了。

被爆漏洞的數字貨幣叫 EOS（柚子），目前在數字貨幣里總幣值排前五，超過一百億美元。所以 360 公司老闆周鴻禕在微博上就說：「這個漏洞價值百億美元」。

值不值百億美元我不知道，但消息像一枚原子彈落在數字貨幣圈，在綠油油的韭菜地里炸出了一個大坑，爆轟波瞬間衝擊到每個角落。

消息出來才半小時左右，許多人開始拋售EOS，幣價應聲跌了7%。

於是很多人懷疑：360想故意引起市場恐慌，拉低幣價，伺機做空 EOS以牟利！（考慮到隔行如隔山，這裡插入個「做空」的小科普：所謂做空EOS ，簡單理解就是先借來很多EOS，賣掉，等價格降低了再買回來歸還，這樣就能賺取一部分差價）

人們懷疑360惡意做空EOS的理由主要有二：

1. 360和周鴻禕本人都使用了「很嚇人」的字眼來描述漏洞，比如公告標題用了【史詩級】這個詞。
2. 很巧，前一天有個叫「玉紅」的人在某區塊鏈會議上說 EOS 是垃圾，建議大家趕緊拋掉。而此人系原360高級副總裁，跟360有利益糾葛。

我的朋友圈自然很快被這則「恐慌信息」攻佔。

不巧，我自己之前還買了一點點 EOS，看到消息時我放下了飯碗心裡一驚： 「卧X大漏洞，EOS這是要涼啊！要不要我也趕緊拋掉？」

但當我反應過來幾秒鐘，仔細思考整件事之後，我不僅沒賣，而且趁著幣價下跌，又默默抄底買了一些。（本文純討論觀點，不構成投資建議）

原因很簡單：短期內，EOS 爆出安全漏洞一定會引起一部分人的恐慌，這是本能反應。但長期來看，這對整個區塊鏈行業都是一個重大的好消息！

不管你信或不信，不妨跟隨我的思路繼續：

Lets Rock ！

1. 老周故意做空數字貨幣？可能性不大

我找到一張聊天記錄截圖，28日半夜，360 Vulcan 團隊聯繫上了 EOS 負責人。（不想看英文的可以直接看後面的翻譯）

雙方沒有廢話直奔主題。

360：我是360的，發現 EOS 的重大漏洞，但我們已經研究出解決方案了，具體咋聊？郵件還是……

EOS ：好呀好呀，項目正在測試階段，漏洞修好之前項目不會上線，我們這就趕緊說說具體情況吧。

第二天（29日）中午12點半左右，360發出公告對外披露該事件，但沒公布漏洞細節。

在我看來，這真的是個很普通的漏洞披露流程了，給谷歌蘋果微軟披露漏洞也基本是這流程：告知相關廠商、協助修復、對外披露整件事但是暫時並不公開任何漏洞利用細節……（具體漏洞的技術細節和時間點，我都放在今天的二條了，有興趣一會兒可以看看）

思考題：為什麼 360 不太可能惡意做空？

答：

1.做空是為了賺錢，直接把漏洞賣給黑產大佬、漏洞軍火商應該也能賣個好價錢吧？

2.即便不賣漏洞，如果真要製造恐慌，360把漏洞捂在手裡，等 EOS 主節點正式上線再披露漏洞，恐慌效果豈不更好？

但是以上選擇他們都沒選，而是直接報告給了相關負責人，這是一個專業安全團隊的基本職業素養。

只可惜，相較於職業素養，陰謀論總是更容易被相信。

不僅一票人懷疑 360 惡意做空，連 EOS 的負責人後來也對媒體「委婉」表示 360 可能是想造成市場恐慌。

其實在很久以前，民間的白帽子（正義的黑客）就有這樣的尷尬。他們發現一些公司的安全漏洞就跑去告訴他們，結果對方反咬一口質問：「你想幹啥！你沒事找我漏洞幹嘛，是不是要偷我數據？小心我報警抓你！」 最後逼著一些人把漏洞捂在手裡，一些人心灰意冷投入黑產。

這種情況後來隨著國內漏洞披露環境和相關法律的完善，有了顯著改觀。但這一次360 又遭遇了「人民的質問」：你想幹啥？你沒事找EOS漏洞幹嘛？是不是要惡意做空？！小心我讓媒體曝光你！

不得不說，估計 360 Vulcan Team 這兩天還挺尷尬的，好不容易做出成績還給公司招黑……

倒不是想替360說話，這件事表面看來是人們對 360 的質疑，但背後折射出了網路安全行業之外的大眾對安全行業、黑客、漏洞等方面認識的不足。

---

2. 既然不是做空，360幹嘛弄出這麼大動靜？

很明顯，360這波想順勢推一下自家安全解決方案。

還是剛才那張圖：

請注意，老周的微博上來第一句就提到了一個叫「360安全大腦」的東西，他說這個大漏洞是360安全大腦發現的。

360安全大腦是何物？

兩周前，360 在天津舉辦的世界智能大會上發布的一個產品方案。當時我去看了看，了解到的情況是，360 安全大腦將是 360 公司下一階段的重頭戲之一。限於篇幅這裡就不展開，之後另開一篇給大家講講。

回到老周的那條微博。

打完安全大腦的廣告，老周最後又補了一大段廣告詞：「360已經有了幾個區塊鏈安全解決方案，包括EOS超級節點安全解決方案。」

可惜人的大腦總是習慣性地只注意自己想看的，自動屏蔽其他信息。似乎大伙兒的注意力都被「史詩級」、「轟癱數字貨幣體系」等詞給吸引了，都沒注意到老周在很用力地「賣貨」。

老周今年想嘗試進軍區塊鏈安全領域，而且比較急迫，這點我是親身感受過的。

3月份時，360找淺黑科技約了一個區塊鏈安全主題的專訪，他們內部的一個研究員分享了一些區塊鏈安全相關的知識。我當時就得到內部人員的消息稱 360 在 2018 年初開始在區塊鏈安全方面布局。

採訪完之後，好幾個人輪番催稿，原因都是老周很關注。

我，一個跟360沒啥關係的碼字人員，就這樣硬生生地撲面感受到了老周對於360在區塊鏈安全方面發出聲響的急迫感……不過當時我那篇稿子里主要是傳播區塊鏈安全知識，基本沒怎麼提360，哈哈。有興趣的可以看看：《跟一個搞網路安全的聊完數字貨幣，我喝了口茶壓壓驚……》）

360 為什麼著急要進軍區塊鏈安全領域，原因很簡單：

1. 幣圈有巨大的安全需求未被填補。（後面還會講到）
2. 幣圈錢多。

至於那個據說「跟360有利益糾葛的」玉紅前一天剛好公開唱衰EOS，我覺得多半是時間上的巧合。

唱衰 EOS 甚至唱衰區塊鏈的人多了去了，真不差他一個。巴菲特也經常唱衰比特幣，總不能把比特幣價格下跌都怪在巴菲特頭上吧？

兩件事發生的時間點一樣，未必就有因果關係。

路上發生了一個命案，而你正好路過，別人可以懷疑你，但若有人斷定就是你殺的，這人不是傻就是壞。

3. 為什麼 360 要用【史詩級】這樣浮誇的詞？

答：很可能只是為了裝逼傳播效果。

【史詩級】一詞是否有誇大成分？其實每個人的理解都不一樣。

我最常見到這個詞是在遊戲里，用來形容裝備稀有。《爐石傳說》、《魔獸世界》、《地下城與勇士》等眾多遊戲都有類似說法。一般裝備可以分為：初始、普通、稀有、史詩、傳奇。

如果哪一天黑客發現了一套能完全控制比特幣交易的漏洞，用「傳奇級」來形容，我覺得很OK。

在這個基礎上降一級，EOS 作為排名前五的幣種，用 「史詩級」 其實並不算太誇張。

況且，國外安全社區其實經常用「Epic bug」或者「Epic fail」來形容比較重大的安全漏洞，而 Epic 翻譯過來就是「史詩」。

一個詞放在遊戲里就沒人吐槽，360一用就讓口水淹沒，或許跟招黑體質有關。

本質上來說，做技術宣傳這件事可以理解為「裝逼」。正所謂，虛假宣傳可恥，實力裝逼光榮。用技術成果來裝逼這件事，雖然很多人也看不慣，但我覺得無可厚非。

哪個程序員跟同事展示自己的代碼時，不想聽到一句「卧槽，牛逼，好屌」，

哪家公司好不容易出了一個研究成果，會藏著掖著？大家不都在用 「X半球最好的XX、重新定義XXX、很嚇人的技術」 這樣的描述？

哪怕是有「壽司之神」之稱的小野二郎，也會當著你的面捏壽司給你吃，然後靜靜觀賞你把壽司一口吃掉時享受的樣子。

就在360這件事之前的一天（5月27日）半夜，另一個安全團隊找我說發現了智能合約漏洞，跟交易所有關，問怎麼才能在合法合理的情況下打造團隊影響力：

我的態度是：

裝逼使人快樂，裝逼是每個人的基本精神訴求和進步的動力，能用實力裝逼是每個技術人的榮光。沒毛病，下一題！

4. EOS 出現這麼嚴重地漏洞，是不是要涼涼？數字貨幣是不是要涼了？趕緊拋？

講真，如果出現個漏洞就要涼，整個幣圈都已經投胎好幾輪了。

出現過漏洞的何止 EOS ，已知的大大小小的安全事件都有90多次。

怕大家不知道區塊鏈世界有多危險，白帽匯區塊鏈安全研究院把這些事件按時間軸捋了一遍，還做了詳細的分析報告。有興趣的可以研究一下（http://www.bcsec.org），反正我是建議每個想接觸數字貨幣的人都至少看一遍。

這裡引用主要是想說明幣圈的網路安全問題太多，這次 EOS 漏洞不是第一個也不是最後一個。

接受了「如今的區塊鏈世界是個千瘡百孔的世界」這個設定以後，你就會明白，

360發現 EOS 漏洞，對 EOS 是個巨大利好，對區塊鏈行業也是個大好事！

1）一項前沿技術被黑客盯上才說明有戲

如果一項技術沒有爆出過任何漏洞，原因只有一個，沒人關心。反之，如果安全研究者都在研究它，哪怕發現了很多漏洞，也說明這項技術前景明朗。

特斯拉的自動駕駛汽車剛出來時，很快就讓中國黑客破解了。直到現在也時不時能爆出來破解的消息，也沒有多少人覺得特斯拉會因此破產，無人車技術玩不下去。

同樣，人臉、指紋、聲紋等生物識別曾經一度被唱衰，甚至人臉識別的漏洞還上了央視專門打假的315晚會，可是後來呢？最新的 iPhone X 用人臉識別替代了指紋識別，人臉識別技術還在張學友的演唱會裡幫警察叔叔抓了很多壞人。

同樣地，雲計算、物聯網，幾乎每一樣新技術的誕生，都會有一幫人以安全地名義「唱反調」：

雲計算遭遇黑客攻擊，可能造成大規模數據泄露

物聯網遭遇客戶攻擊，可能讓人類徹底失去隱私。

……

但是最終，這些技術經受住了安全的考驗，緊接著就進入了全面應用階段。如今區塊鏈也是這樣，越來越多的優秀安全研究團隊加入區塊鏈的行列保駕護航，在應用發布之前找出漏洞然後及時修補，這對區塊鏈行業未來的發展究竟是好是壞，想必不難判斷。

後記

今早又看到一個媒體同行在其公眾號推文里寫道：

「猶記當年，慢霧科技（知名區塊鏈安全研究團隊）發現了 美鏈BEC 的漏洞，於是美鏈歸零了，又發現代幣 SMT 的漏洞，於是 SMT 遭到史上最大的重創……作為慢霧科技的競爭對手，360發現了EOS的漏洞……」

對網路安全行業誤解貌似挺深。

在此我想用一個故事回應一下，這個故事是我的黑客朋友趙武在一次區塊鏈安全會議上講的：

我看到一群人簇擁著一輛礦車從礦洞里開出來，車上堆滿了金子，路面坑坑窪窪，輪子松垮垮，一路上顛簸掉了不少，但所有人只顧狂歡著前行，似乎沒有一個人看見。

我跑過去大喊「哎——輪子鬆了，你們的金子都掉啦！！」 好不容易有那麼一兩個人回過神來對我說:「沒事，我們金子多著吶哈哈！來不及解釋了快上車吧……」

我想說的是，金子灑落滿地的原因在於車輪和路面，而不因為有人指出來輪子和路邊有問題。

指出問題，路面鋪平，輪子修好，只會讓這趟車走得更遠。

最後再介紹一下我自己吧，我是謝幺，科技科普作者一枚，日常是把各種高大上的技術知識、黑科技講得通俗有趣。如果有什麼有意思的科技類問題，可以在知乎@謝幺，或者加我的個人微信：dexter0。

不想走丟的話，請關注【淺黑科技】！