360安全衛士于2018年5月29日下午在微博上發布公告稱，360Vulcan（伏爾甘）團隊發現了區塊鏈平臺EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。一石激起千層浪，這個消息在網上立馬引起了軒然大波。

與此同時，《中國經營報》記者注意到之前360公司對區塊鏈興趣并不大，是什么促使其對區塊鏈大為改觀，積極入局呢？

致命漏洞事件全回放

“我們從今年年初開始，就已經關注和研究區塊鏈安全問題了，這次EOS的漏洞，Vulcan（伏爾甘）團隊在5月初就發現了。之后半個月里，團隊繼續研究了漏洞會被如何利用。在28日晚上，Vulcan（伏爾甘）團隊把完整利用漏洞的演示視頻，還有漏洞相關代碼細節提交給了EOS團隊，并在29日凌晨協助EOS團隊進行了修復。“360公司Vulcan（伏爾甘）團隊負責人、360助理總裁、首席安全工程師鄭文彬在接受《中國經營報》記者采訪時解釋了此次發現漏洞的具體細節。

據鄭文彬介紹，這次EOS的漏洞屬于緩沖區溢出的漏洞。在64位系統里面，想要進行遠程攻擊的難度實際上比較大，因為之前，EOS為了加快合約執行速度引入了wasm虛擬機，這樣可以幫助EOS的TPS（每秒提交交易數量）相比其他區塊鏈平臺要高得多，但與此同時，其實是犧牲了一定的安全性，這個wasm虛擬機能讓攻擊者更容易實現遠程執行代碼。“這次發現的漏洞修復起來不太復雜，在我們給EOS團隊提交之后，已經配合他們完成了修復。

在最近瘋魔區塊鏈行業的EOS主網6月1日上線前夕，傳出了如此重大的高危漏洞。比起是否會對區塊鏈行業造成沖擊，區塊鏈的安全性問題變得更加發人深思。

鄭文彬告訴記者，區塊鏈技術和其他互聯網技術一樣，都是基于軟件，是通過代碼寫程序來實現功能的。只要是編程的東西，一定會存在各式各樣的漏洞，所以不僅僅是EOS，其他區塊鏈產品和服務，也都可能存在各種安全隱患。今天發現的是EOS漏洞，但實際上他們也發現過很多其他的，比如錢包、礦池甚至智能合約都存在嚴重的安全漏洞。

值得注意的是，昨日360在微博發布的重大漏洞公告中提及攻擊者有可能可以利用此次EOS漏洞致使網絡中的節點變為僵尸網絡中的一員，從而發動網絡攻擊。鄭文彬告訴記者，如果利用此次漏洞去發起攻擊，不僅僅是上述提到的51%，甚至于控制EOS所有節點也并非不可能。“不管是利用來作為僵尸網絡的一員還是做其他事情，都是可以的。”

對于公眾關心的EOS主網上線是否會因此延期，鄭文彬表示，“我們在主網上線之前發現漏洞，并通報給EOS官方團隊，并幫助他們修復漏洞，這肯定是有益于EOS的長期發展的。至于對EOS主網上線的影響以及是否延期，這個我們不好判斷。”

“區塊鏈方向之前也出現過很多次安全問題帶來的負面事件，但我相信這次漏洞事件，能夠引起區塊鏈業界和同行們真正重視區塊鏈安全問題。“鄭文彬這樣說道。

360早先對區塊鏈并不感冒

2018年1月17日，360董事長周鴻祎出席中國金融博物館書院讀書分享會時，被問到對于區塊鏈的看法時，他曾坦言目前他本人對區塊鏈的布局還沒有具體想法，他對區塊鏈對于實際應用的意義是否如很多人所吹捧狂熱的那么重要，也持謹慎的態度。

但是1月19日下午，360公司就宣布推出全球首家基于區塊鏈的安全共享云平臺——共享云計劃。

2月14日，360推出了基于區塊鏈技術下的虛擬貓。外界評論此次發布的區塊貓是360在區塊技術上的一次“試水”產生的“副產品”。

3月2日，作為全國政協委員出席兩會發布會上的周鴻祎在接受采訪時也表示，目前為止尚未看到非用區塊鏈不可的場景，區塊鏈中唯一剛需就是比特幣。并且比特幣即使具有賬本不可篡改的特性，也會面臨網絡攻擊的問題，比如當有人控制了51%的算力進行攻擊，還有如今的加密算法將來面對量子計算的問題，萬一哈希算法被破解，那么區塊鏈將面臨的安全風險不可忽視。

但到了近期，360公司對區塊鏈顯示出了前所未有的熱情。

5月25日，360首次發布針對區塊鏈領域的安全解決方案。該方案基于360的安全大數據，結合360安全大腦，涵蓋了錢包、交易所、礦池、智能合約四大領域。在錢包領域，Dbank為360首家戰略合作方，360安全團隊則為Dbank提供核心安全技術。

5月29日曝出幣安將與360達成安全方面的深度合作，360將為幣安提供一系列智能合約項目的代碼審計，且在項目方代碼升級后持續提供安全審計服務。同時，360安全團隊也將向幣安提供長期的安全檢測服務。

同樣是5月29日，北京歐鏈科技有限公司（OracleChain）宣布，已經與北京奇虎科技有限公司（360）達成戰略合作，雙方將共同攜手，就區塊鏈底層技術、區塊鏈安全服務、區塊鏈預言機服務以及區塊鏈應用等領域開展深入合作。

近期數字幣面臨多事之秋、風雨飄搖，外界爭論不休，又遭曝光了致命漏洞。

為何360公司恰恰選擇此刻開始大舉進軍區塊鏈呢？

“區塊鏈的應用不只是虛擬幣，會有更多的應用場景，證券、支付、游戲甚至隱私保護等等方面，都可能會誕生很多區塊鏈應用案例。360是做安全的，區塊鏈作為最新的互聯網技術，其安全性問題非常值得我們關注和研究。”360安全團隊負責人鄭文彬向記者這樣解釋道，“作為安全公司，360通過給區塊鏈行業提供安全解決方案及安全服務，讓區塊鏈應用能更加安全快速地發展。針對區塊鏈嚴峻的安全形勢，360公司基于360安全大腦，利用360大腦在網絡安全感知、監測、分析及決策方面的能力，特別布局了一整套區塊鏈安全生態，主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案三大系統。”

鄭文彬表示：“360作為安全公司，對于區塊鏈等新領域面臨的安全威脅，會持續從攻防兩方面投入安全研究。360從今年年初開始就已經投入研究區塊鏈安全，5月中旬我們剛剛發布了360安全大腦，我們會將360安全大腦在網絡安全允許狀況感知、監測、分析以及決策能力與區塊鏈安全進行結合，提供一系列區塊鏈安全解決方案。”

面對記者問及360是否會推出360虛擬貨幣安全錢包，鄭文彬表示，360安全團隊會持續關注數字加密資產的安全性問題，其實在此之前，360公司對全球20多款錢包進行了安全審計，發現80%都存在安全問題，最近360也為此發布了錢包安全白皮書，提出了錢包安全標準，幫助錢包開發者改善安全狀況。