周鸿祎还原“区块链史诗级漏洞”事件始末：没有恶意做空EOS

周鸿祎称，采用这种公开的方式是希望以此呼吁大众关注区块链技术的同时也注意区块链安全。安全问题也是360在区块链领域的机会。

在区块链平台EOS上线之际，360公司于5月29日突然宣布，发现该平台存在重大漏洞。外界纷纷质疑360此举是为做空EOS。

5月30日午间，在“三点钟火星财经创始学习群”，360董事长、“红衣教主”周鸿祎揭秘“EOS安全风暴”事件始末。

周鸿祎表示，之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。最近EOS准备上线，在区块链行业里非常具有代表性，360这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以披露漏洞，这也是360作为一家安全公司的职责所在。

而在今日（5月30日）早些时候，EOS创始人BM针对漏洞一事做出回应称：“漏洞已被EOS修复，且早于360发布报告的时间。”

对于BM的这一说法，周鸿祎反复强调：

“我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。”

周鸿祎还表示，BM的回应有点让人混乱，看起来以为是，我们报告前，他们已经修复了，其实是我们遵循了负责任的行业标准流程：报告->修复->公开。

“非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞，希望他们先修复，这都是有聊天记录截屏的。等到EOS修复了，我们再对外发布这个漏洞公告。今天我们也还在和对方继续保持沟通，对方对我们表示感谢，也表示会给我们发放漏洞奖金，会对外发致谢……”周鸿祎称。

与此同时，周鸿祎还否认了做空EOS的说法，称360的做法符合安全行业标准的漏洞通报机制。

此前，周鸿祎很少提及区块链，但在这次的对话中，他表示，过去这段时间，360在区块链上做了很用心的研究，未来会仍将聚焦安全问题，并基于区块链安全生态推出三个系统，主要包括数字货币钱包安全审计系统、区块链安全态势感知系统和区块链节点安全解决方案。

以下为对话主要内容（由全天候科技整理）：

曝出EOS漏洞并非蓄谋已久

问：360以PC安全卫士起家，其后一直从事互联网安全应用，我也知道近几年也逐渐布局于企业级安全领域，为什么你的安全触角一下子进入区块链领域？今年春节之后，3点钟微信群火爆区块链期间，你也从未轻易表达过对区块链的看法，可是昨天，通过爆料EOS严重安全漏洞之际，360闪电出击，在一天之内连续公布了与币安、欧链、EOS LaoMao、Dbank等项目的合作，这是为什么？看起来你是蓄谋已久啊，后面还有大招？

周鸿祎：没有大家想象的什么蓄谋已久，也没有什么大招，我们的大招就是踏踏实实帮助区块链行业排除风险。

我至今也不觉得自己懂区块链，我个人也没有买虚拟货币，看着大家在这些群里热烈的讨论，每个人都忧国忧民，每个人都像经济学家、哲学家、思想家一样的发出各种见解，我真的觉得自己像个白痴一样听不太懂。但是我们比较懂的就是安全，所以我们希望和大家一起交流，让区块链行业更安全。

尽管很多区块链、数字货币的设计都标榜非常安全，但任何软件系统，只要非常复杂，这种复杂度，都会带来bug和漏洞，bug和漏洞被人利用，就会带来风险，就会有安全问题，区块链技术也一样。

我们最近发现了很多区块链系统、交易所系统、钱包系统存在问题。之前大家都在关注区块链带来的商业机会，但是很少有人关注区块链安全问题。最近EOS准备上线，在区块链行业里非常具有代表性，我们这次发现EOS漏洞，提交给对方，希望督促他们修补系统，所以我们披露漏洞，是我们安全公司的职责所在。

我们的心态还是比较开放的，我们也希望大家都能够关注安全问题，所以当大家主动来找我们，希望在区块链安全方面有些深入沟通交流，我们也非常愿意为区块链行业提供更安全的解决方案。

我们没有立场，是中立，我们提出任何一个系统的漏洞，都是为了帮助这个系统改善安全性，保证它的安全，不是为了打击它。区块链这个行业里，大家其实是在一条船上，作为新生事物，某一家不安全会让大家对整个行业产生质疑、失去信心，对行业是不利的。所以我们反对大家利用安全问题做文章，把安全问题变成竞争的工具。后面我们肯定还是会继续深入研究区块链安全问题，也会继续保持开放心态，欢迎大家来交流合作。

回应“制造恐慌”：确认EOS修复后 360才公开漏洞