导读:作为号称区块链3.0的EOS,自今年6月份主网上线以来,其发展态势一直以来就被人们看好,甚至有不少人都认为EOS可以超越以太坊。但天之骄子也有自己的老大难问题,那就是黑客。
作者: 共享财经Neo| 文章来源:区块链新金融(shhl_qukuailian)
BM(EOS创始人)又要头痛了。
没错,老大难问题——黑客来了。
如约而至
作为号称区块链3.0的EOS,自今年6月份主网上线以来,其发展态势一直以来就被人们看好,甚至有不少人都认为EOS可以超越以太坊。
而EOS开发人员也做出了巨大努力,从今年6月份到现在,EOS版本已经更新了4次,可以说无论是从性能还是活跃度方面,EOS一直都在为用户呈现自身强大的发展潜力。
但是,就算是像EOS这样的天之骄子,也没有一路顺风顺水。
如果说以太坊目前的死对头是像Fomo3D的博彩类游戏,那么EOS所要面临的最大问题就是它的“恋人”:黑客。
9月14日,多个EOS游戏合约遭到黑客攻击。据悉,此次攻击与EOSBet和EOSWin有关。
黑客利用EOSBet智能合同中的漏洞,从其运营钱包中窃取了4万EOS(约20万美元)。EOSBet的一位发言人告诉用户:“几个小时前,我们被攻击了,大约有40000个EOS从我们的资金中被窃取。”“这个bug并不像之前说的那样轻微,我们还在做取证工作,把发生的事情拼凑起来。”
消息一出,EOS价格在当日就下跌了1.34%。同比下跌幅度超过了BTC、BCH、ETC等主流币。
黑客的突然袭击对于EOS来说,更像是如约而至。有网友统计,自从EOS主网上线以来,已经接连遭受了4次黑客攻击,再加上这一次,目前为止,已经是那些热衷于EOS的黑客,第5次从自己“兜里”拿钱了。
然而,对于这些赶也赶不走,又偏偏对EOS“如胶似漆”的黑客,EOS的表现让人看来,更多的却是无可奈何。
苦不堪言
其实在EOS主网上线之前,就屡遭负面新闻缠身。“史诗级”漏洞、百万私钥被盗、主网瘫痪,安全问题似乎已经成为了EOS最大的硬伤。
5月29日,国内网络安全公司奇虎360发现了EOS一个严重的漏洞,360表示,这一漏洞的存在,使得黑客通过远程攻击即可直接控制和监管EOS上运行的所有节点,原始网络保护屏障等同于摆设。交易所被远程控制,等同于护城河被打通,因此该漏洞被业内成为“史诗级漏洞”。
就此,著名加密货币研究者兼康纳尔大学教授Emin Gun Sirer批评了EOS的开发人员,他认为这些开发人员没有去寻求共识协议专家的帮助。他还预言,明年将会有一场大规模利用EOS漏洞的黑客攻击,而且考虑到开发人员处理关键安全问题的方式,这一攻击的出现很可能是不可避免的。
事实证明,Emin Gun Sirer此番对于EOS的评价,是具有前瞻性的。时间还没有到明年,EOS已经被黑客折磨的苦不堪言。
7月11日,EOS平台上的秘钥,被曝光存有安全隐患,最终的结果是直接损失3000多个EOS代币。7月16日,因存在假账号现象,EOS安全风险预警再一次拉响,最终的结果是EOS惨遭铁滑卢,跌至8.37美元。
时间来到8月份,大热的Fomo3D的EOS版狼人杀,在上线2天后就被迫停服。原因就是是EOS 智能合约底层 asset 类存在严重缺陷,遭遇黑客攻击,从而导致60686.4190个EOS被盗。
据360Vulcan团队情报称,EOS 智能合约底层asset类存在严重缺陷,在数值计算时存在溢出风险,目前360Vulcan团队已反馈给EOS官方漏洞平台。这与慢雾安全团队7 月 25 日预警的EOS狼人游戏出现溢出攻击的根源有一定关系,狼人团队与慢雾取得联系后,与 360Vulcan团队都通过对合约源码进行审计发现,果然asset计算存在该溢出问题。
而从公告中可以看到,官方选择的方法竟然是规劝黑客归还EOS。
据记者了解,规劝无果后,最终的结果是冻结黑客的钱包账户。截至目前,6万EOS至今下落不明,事情不了了之。
9月10日,有黑客利用EOS投注平台漏洞连续24次“赢得”奖金,总计约2.4万美元。DEOSBet是DEOSGames旗下的一个投注平台,最近在不到一个小时的时间里,一场去中心化骰子游戏向一位玩家支付了24次奖金,总奖金接近2.4万美元。DEOSGames已经在其社交媒体上证实了这一漏洞的存在。
再加上前两天4万EOS被盗事件,从6月份至今,短短3个多月,黑客已经多次光顾EOS这位老主顾。对此,有网友评论,BM只管埋头发展,黑客只管伸手要钱,而背后吃亏的,永远只是用户和韭菜。
安全第一
对于EOS这个一年募资40亿美元的明星项目,种种负面新闻造就了它两个极端的评价。支持者认为它是开启区块链3.0时代,而反对者则认为它是史上最大的空气币、传销币,存在着严重的安全隐患与欺诈性。
但是,EOS开发人员的敬业程度却毋庸置疑。事实上,EOS在Github上的进度更新一直高居在上,相比于其它那些挂羊头卖狗肉的空气项目,EOS在众多优质项目中的开发进程,都称得上是佼佼者。
公开数据显示,目前为止,加入投票的EOS达到3.833亿个,占EOS总量的38.33%,相比昨天增加约10万个,增幅为0.026%。参与EOS投票的账户达到30761个,相比昨天增加137个。EOS账户总数达到322551个,相比上周同期增加18122个。
而在DApp方面,数据显示,EOS在过去24小时内共有11428名DApp用户,而以太坊网络则为10562名。此外,EOS7天的DApp交易量为4800万美元,以太坊仅有2600万美元。EOS的每日DApp用户和交易量已经超过了以太坊。
虽说目前EOS的价格持续低迷,但是区块链活跃中有数据统计,EOS的Acticity活跃度排名第5,仍有大批EOS的拥趸。
无论是之前RAM的扩容,侧链通讯的提出,DPOS算法的迭代,还是如今新金融服务WORBLI的推出,和近日BM发文要引入资源代币REX,都代表着EOS的辉煌战果。
但是,有些饱受安全漏洞折磨的网友并不买账。有网友称,“从RAM炒CPU,今天又来了炒资源代币REX,有这功夫,怎么不把自己的安全漏洞管好呢,真是越来越看不懂EOS了”。
在此前,也有一位360安全团队的成员称,“EOS主网将于6月2日上线,现在他们在GitHub上的更新速度极快,很容易忽视安全问题。”
有业内人士认为,现在的EOS步子太大,过度包装,虽然一系列新模式、新技术层出不穷。但是其在主网上线之后才开始进行漏洞检查,其安全审计相对滞后,这种不负责任的态度等于让持币者承担了所有风险和后果。而大肆宣扬其募集资金和成果展示的行为,无疑又为迷途中的黑客点亮了指明灯,从而让黑客蜂拥而至,跃跃欲试。
再加上21个超级节点过于中心化,容易遭受外部控制。对于之前的“狼人杀丢失6万EOS事件”,就有媒体分析,与EOS的21个超级节点,Hello EOS的负责人“EOS奶王梓岑”有关。
而EOS创始人BM对于黑客攻击的态度,往往是靠外悬赏,发现漏洞从而修复。EOS漏洞赏金计划(1个漏洞1万美元),已经成为了EOS发现漏洞的主要手段。
比如在6月2日,EOS为360公司支付了3万美元的致谢费;6月5日,一网友发现了8个漏洞,获得8万美元;6月6日,荷兰黑客GuidoVranken一周找到了12个EOS漏洞,获得12万美元;在最近的9月13日,一个名为“yukichen”网友依靠EOS漏洞赏金计划,在三个月内获利14万美元。
但是,这也让外界为BM打上了“根本不懂网络安全”的标签。
EOS打着开启区块链3.0口号,想利用其技术的优势更加拥抱区块链,从区块链这一潮流中捞取一波红利,但是却由此忽视了安全漏洞的问题,导致现如今都黑客缠身。
漏洞并不可怕,可怕的是存在的漏洞并没有被意识到。对于募集了40亿美元,背负着如此多投资者的信任的EOS,面对漏洞时却采用"打地鼠"的态度去对待,这样无法从根本上解决问题。
长此以往,EOS不仅仅会不定时出现大量损失,更会消磨人们对于EOS的信心。
领取专属 10元无门槛券
私享最新 技术干货