王峰:在360公布#3498柚子漏洞之前,柚子的漏洞已经在GitHub上被提交了3497条,但在360披露前鲜有人关注。实话实说,你如何看待刚刚披露的安全漏洞的严重程度?为什么称这个漏洞价值百亿美元?为什么360安全卫士在微博上称其为“史诗级”漏洞?在我过去的认知里,“史诗级”一般是对某事物的高度赞扬。
周鸿祎:我们是中立的,我们提出任何一个系统的漏洞,都是为了帮助这个系统改善其安全性,不是为了打击它。
区块链领域的企业其实是合作共生的关系,作为新生事物,该行业的任何一家企业存在安全漏洞都会让公众质疑整个行业、对行业失去信心,这是不利的。所以,我们反对大家利用安全问题做文章,把安全问题变成竞争的工具。
如果#3498柚子漏洞被人利用,那么他们可以控制柚子网络里的每一个节点、每一个服务器,不仅仅是接管网络里的虚拟货币、各种交易和应用,更可以接管节点里所有参与的服务器。拿到服务器的权限,他们就可以为所欲为了。例如,如果有人做一个恶意的智能合约,那么他就能够把里面所有的数字货币拿走了。
所以,对于区块链网络来说,不会有比这个更严重的漏洞了。
再说360安全卫生为什么称这个漏洞是“史诗级”的。柚子在区块链发展史上的重要性众所周知。如果我们没有提出这个漏洞,柚子没有被修复,而等到柚子主网上线后被恶意的黑客发现并利用了,到那时候柚子遭受的损失将难以估量。
柚子现在的估值至少有100亿美元,所以我觉得这个漏洞价值百亿美元的说法并不夸张。
另外,“史诗级”是安全领域常用的说法,“史诗级”是从“Epic”翻译过来的,国外安全社区经常用“Epic bug”(“史诗级”漏洞)或者“Epic fail”(“史诗级”失败)来形容比较重大的安全漏洞。
当然,因为大家对“史诗级”这个词的理解不一样,所以称其为“百亿美元的漏洞”,可能会更好一些。