作者 | 張 問
編輯 | 楊舒芳
幾天前,加密貨幣研究員Kevin Roke發表研究稱,從資金流通量和使用者活躍度上看,EOS已經超過了以太坊。
在7日內交易資料上,EOS有將近4900萬美元,以太坊是2600多萬美元;24小時使用者活躍量上,EOS有11428人,以太坊有10562人。
有圖有真相,他是從dapprader上的資料算出來的。
EOS的DApp排名
以太坊的DApp排名
有人開始據此做推斷,表示“EOS已經全面超越了以太坊”。但僅僅從這幾個數字就下結論,未免有些片面。
的確,EOS RAM宣佈擴容方案後,RAM價格越來越低,現在都不到0.1EOS/KB,相比頂峰已經降了90%;再加上EOS的TPS已經達到了3996,遠超各大公鏈,開發者湧進EOS不足為奇。因此,EOS的活躍度提升是非常正常的。
但是,最近EOS的DApp卻出現了一系列的問題。
9月18日,Newdex——就是上面在EOS網路裡排在第5名的DApp被黑了。這是一個去中心化交易所,它的程式碼出現了問題,駭客製造了10億個假EOS代幣,用這些“假鈔”下了1萬多份訂單換成其他代幣,然後又換成真EOS,賺了5.8萬美元。
Newdex發現這個問題後,只是檢修了半個多小時就重新上線了,並沒有給使用者任何說法。
更有意思的是,就在被攻擊的前幾天,Reddit上有一個使用者抨擊Newdex,指責這家號稱“EOS上第一家去中心化交易所”根本就是假的。根本沒有任何智慧合約,匹配訂單都不在鏈上。而且,這個事情居然是Newdex的人確認的!
“先生您好,感謝您來信,我們確實沒有智慧合約,因為我們不在鏈上匹配訂單,交易才放鏈上。”
可以說非常理直氣壯了。
這裡有一個問題。如果Newdex沒有智慧合約的話,使用者難道不會發現嗎?
這位使用者解釋,Newdex只是透過某種方法,把使用者介面做得看起來很像一個去中心化的交易所。實際上,大家交易的時候,都是傳送代幣到Newdex自己的一個EOS賬戶,名為“newdexpocket”,然後等著Newdex返給你你想要的幣。
如果真的是這樣的話,Newdex顯然是一個極度中心化的交易所。先不說管理團隊會不會卷錢跑路,萬一“newdexpocket”賬戶的私鑰被盜了,那裡面的錢可就直接改姓了,相當於直接把一個交易所所有使用者的錢都偷了。
可怕的是,這個DApp現在高居在榜單第5位,日資金流量高達百萬美元。
這不是唯一一個被黑的DApp,在它之前,另一個賭博遊戲EOSBet,就是上面圖中排名第6的DApp,也被黑得損失極其慘重。
9月15日,EOSBet官方在Reddit承認被黑了,由於程式碼漏洞,檢測不出使用者的EOS代幣到底是不是來自eosio.token的代幣,因此駭客偽造了一個假的EOS幣,居然可以在EOSBet使用。
所以,駭客都不用真金白銀的投入,就能在EOSBet玩遊戲。如果輸了什麼都不損失,但要是贏了,他就直接把真的EOS提走了。駭客的運氣不錯,贏了4.4萬個EOS,合計大約200萬美元。
嗯,真是無本萬利的好生意。
更加可怕的是,據securityaffairs表示,這個駭客的方法是可以複製的,只要發現這個漏洞,懂技術的人都有機會去嘗試黑一下。
實際上,不只這兩個DApp,據統計,這段時間有7個EOS的應用被黑,而且都發生在近期,有的連方法都幾乎一模一樣。感覺像是駭客們在組團比賽,看誰黑的DApp更多。
這種大面積EOS的DApp被黑的現象,正常嗎?
“不正常啊。”EOS其中一個節點的技術人員表示,“這是專案開發的坑,不是EOS的坑。DApp專案方的合約開發能力有待提高。”
據瞭解,這次普遍的程式碼問題並不是特別高階的難題,而是較低階的程式碼錯誤。這位技術認為,EOS網路沒有問題,只是DApp的開發團隊都是剛剛進入EOS網路,意識不到哪裡會有坑。
不僅如此,開發者思考漏洞不全面是一方面,更讓人意外的是,有的開發者寫完程式碼連檢查都不做,就直接放出來了,比如之前在EOS上模仿FOMO 3D的狼人殺。就算急於賺錢,開發者也要負起最起碼的責任。
從DApp的程式碼質量和安全能力看,“EOS已經全面超越以太坊”這個結論,可能還沒辦法去下。那些曾經被大家暢想的、可以改變世界的DApp,看來還要等很長很長的時間。
—End—
衝科技,區塊鏈+TMT深度新媒體。衝科技【chongkeji】
