再说“史诗级”，EOS在区块链发展史上的重要性大家肯定知道，如果说，这个漏洞我们没有提出来，EOS没有修复，等到EOS主网上线了，被恶意的黑客发现并利用了，那时候EOS会不会一夜之间就被搞掉了，我们都不好说。

EOS现在的估值至少百亿美金了，所以我觉得这个漏洞价值百亿美金并不夸张。另外就是这个其实是我们安全圈内部的说法，是半个舶来语。“史诗级”是从“Epic”翻译过来的，国外安全社区经常用“Epic bug”或者“Epic fail”来形容比较重大的安全漏洞。

当然我从公关的角度来看，史诗级这个词大家理解不一样，太文艺青年了，所以说成百亿美金的漏洞，大家会不会觉得更接地气一点。因为很多标题党 “吓尿了、吓哭了 、吓软了、崩溃了”都被滥用了 ，所以用了个“史诗级 ”，其实说百亿美金级别最好了。

王峰：今天凌晨，EOS创始人BM的回应，暗指360制造恐慌，并声明对于任何挑起市场恐慌的行为将取消其奖励资格。对此，你怎么看？

周鸿祎：没问题，慢慢来，让子弹先飞一会，你说的消息其实已经不是最新的，最新的慢慢说。

对于已经修复这个事情，我还是需要和大家普及一个知识，就是我们安全厂商对外公开披露的漏洞，一定是先和对方沟通，提交给对方去修复，在得到他们修复的确认之后，然后我们再公开。因为如果EOS没有修复，我们公布出来了，肯定会有一大波黑客立马上去搞他们，所以我们发布报告的时间当然会是晚于修复时间的。

这个不仅仅是对EOS，对微软谷歌苹果都是一样的，对于安全漏洞，通常的步骤就是，首先是挖掘漏洞，挖出来之后就会研究，会怎么被黑客们利用，把这些研究透了，再向相关的厂商汇报，比如这次EOS的，就是把怎么利用的视频还有涉及的详细代码报告给了对方，再然后就是对方修复，等对方确认修复之后，我们才会对外公布。

BM的回应有点让人混乱，看起来以为是我们报告前他们已经修复了，其实是我们遵循了负责任的行业标准流程，报告->修复->公开。

非常明确地说，我们先私下联系了BM，通知了他们EOS漏洞 ，希望他们先修复 这都是有聊天记录截屏的，等到EOS修复了，我们再对外发布这个漏洞公告。

相关报道: