EOS跌下神壇:僅三成真實用戶 半年被盜800萬
出品 / 區塊鏈真相
作者 / 林默默
編輯 / 賀樹龍
在漫長的熊市中,最熱鬧的除了各種花樣百出的維權,或許只有EOS了。
這支上線不到半年的公鏈,如今已有200個DApp,50多萬用戶,日交易額最高1億元。似乎可以證明,EOS開啟了區塊鏈3.0時代。
但是倘若深究一下,不難發現,這樣的火熱有些許誇大了。在50多萬賬戶里,只有18萬活躍賬號,其餘大多是羊毛黨和刷量黨創建的群控賬號或者沉默賬號。
與此同時,從誕生之初,EOS就伴隨著一次又一次的安全事故。據PeckShiled給出的數據顯示,截至11月26日,EOS共發生27起DApp安全事故,損失近40萬個EOS,價值超過800萬(以最新價格計算)人民幣。
虛假繁榮,安全事故頻發,曾經被寄予厚望的EOS似乎正在走下神壇......一個不容忽視的事實是,除去假數據,EOS依然是DApp生態最活躍的公鏈,這或許是它作為「公鏈之王」最有利的證據。
高歌猛進的EOS
2018年8月底,EOS終於迎來自己的高光時刻。
首先是交易額。伴隨著ETH上Fomo3d遊戲的降溫,EOS第一次實現了超越——8月25日,EOS上DApp交易額為705萬元,是ETH DApp交易額255萬元的近3倍。
其次是日活。9月18日,EOS DApp日活(12009)首次超越ETH DApp日活(10136)。
隨後,EOS再也沒有給ETH反超的機會。主網上線不到6個月,其日活是ETH的近9倍,交易額最高是ETH的10倍左右。
這似乎坐實了EOS是「公鏈之王」的名稱。這個BM精心打造的項目從一出生開始就吸引了諸多人的目光,甚至有著時間最長、募資金額最高的眾籌。投資者們用真金白銀押注未來的公鏈之王,他們期待著白皮書中提到的百萬TPS成為現實。因為這樣的速度,意味著區塊鏈不再是概念,而是讓大規模應用落地有了可能。
如今,EOS交出了一份不錯的成績單。根據DApp radar數據顯示,上線三年的ETH現有1500個DApp,而上線不到半年的EOS就有近200個DApp。帶有一點諷刺意味的是,這些DApp大部分是菠菜和遊戲為主,菠菜類DApp佔比超過一半。
這並不影響EOS成為寒冬里最火熱的明星。排名第一的DApp EOSBet,24小時成交近80萬個EOS。同時,根據相關數據顯示,整個EOS生態現有近50萬用戶。
但是如果進一步探究,不難發現這樣的火熱似乎有點兒虛假。
真實用戶只有三成
首先,EOS DApp上的50萬用戶暗藏端倪。
據PeckShield給出的數據顯示,在EOS 50多萬用戶中,有近12萬個賬號為群控賬號,20多萬個賬號為沉默賬號,這就意味真正的活躍用戶只佔37%,不到一半。
「EOS 上 DApp在9月底開始爆發,並在不到1個月內迅猛增長,那些天全網的DAU數據一下子暴增,數據量在幾天內翻了好幾倍。但隨著EOS DApp的熱度升高,從數據顯示,10月4日群控賬號開始入場了。」PeckShield高級安全專家施華國對區塊鏈Truth(ID:chaintruth)表示。
這些群控賬號大部分是被相同的人操控的子賬號,而沉默賬號則分為兩類,「一部分是用戶註冊的創世賬號,但用戶已經忘了,另一部分是有些用戶為了搶靚號,隨便註冊的」。施華國表示。
雖然並不能查出來具體是誰在控制這些群控賬號,但施華國給出了可能操控賬號的兩類人群:羊毛黨和刷量黨。
數據來源於PeckShield
一些DApp在拉新時通常會採用類似幸運抽獎的機制。據IMEOS研究院給出的數據顯示,在BetDice遊戲中羊毛黨賬號數最多可達3.3萬多個,而其日活用戶最高為3.5萬。
刷量則形成了完整的產業鏈。「有網站是專門來刷DAU的,明碼標價。比如排名第一,要價300個柚子,現在刷量的利潤規模還沒有完全爆發,一些項目方也會自己刷。」業內人士告訴區塊鏈Truth。
雖然賬號都是假的,但項目方明顯更喜歡後者。這是因為只有把DAU拉高,C端用戶才可以在DApp排行榜上看到,才有入場的可能。
為了佔據排行榜首位,刷量行為有增無減。「目前看來,刷量還是有很大的市場的。」施華國告訴區塊鏈Truth,「11月30日,我們的數據顯示EOS用戶到達了55萬個,10天內增長了近5萬個用戶,這其中還有2萬多的假量。」
刷量並非EOS獨有。「其實每個生態只要有熱度,就會有黑產灰產出場,刷量行為算其中的一種。早期ETH也出現過刷量現象,但是由於當時ETH DApp用戶規模太小,再加上每刷一次就要花費GAS費用(約1.8元)沒有太大利潤空間,但現在的EOS是免交易手續費的,刷量也要看投入和產出嘛。」施華國告訴區塊鏈Truth。
因為有利潤可賺,EOS成了刷量黨和羊毛黨的重災區。
EOS真實DAU
必須要說的是,這些非真實賬號並沒有對交易額產生影響。在DAU方面,如果拋開二者(群控賬號和沉默賬號),從今年10月開始,EOS的真實DAU也已經遠遠超超了以太坊。
這就意味著EOS依然是DApp生態最活躍的公鏈。
安全事故頻發 損失40萬個EOS
其次,EOS頻繁出現各種安全事故。
今年5月29日,360團隊表示經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。29日凌晨,漏洞公布前,360已第一時間將該類漏洞上報EOS官方,並協助其修復安全隱患。
PeckShiled分享的數據
雖然得以在6月上線,但安全問題一直跟隨著EOS。PeckShiled給出的數據顯示,從上線之初截至11月26日,EOS共發生27起DApp安全事故,損失近40萬個EOS,價值超過800萬(以最新價格計算)人民幣。
安全隱患頻出,原因究竟在系統本身還是開發者?在施華國看來,這些安全事故主要是EOS生態剛起步才不到6個月,系統本身會存在漏洞,還在逐步完善改進的階段。以7月底的狼人遊戲遭受溢出攻擊、8月EOSBet出現合約RAM吞噬問題為例子,這兩者都屬於系統安全問題。
數據來源於PeckShiled
但隨著時間的後移,更多的攻擊則是因為DApp開發者的疏忽。10月,因為假轉賬問題,14.5萬個EOS被盜。「這其實是沒有校驗轉賬數據的非常簡單的攻擊手段。比如你給另一個人轉錢,然後通知給遊戲說轉賬玩遊戲了,但遊戲收到通知後並沒有驗證真正的收錢方是誰,是早期的一個漏洞。」施華國表示。11月之後頻繁出現的隨機數攻擊問題,則都屬於開發邏輯問題。
Armors合伙人郭永剛曾透露,最近EOS DApp發生的被攻擊事件大部分以隨機數攻擊為主,並非EOS本身的bug,項目方在開發過程中,應儘可能讓隨機數生成的規則複雜,增加猜測難度。
施華國表示,對於開發者而言,DApp還是一個全新的嘗試,尤其是合約使用C++語言開發,上手難度更大,更容易出現各種邏輯處理不嚴謹的問題。
「只要是開發者開發的東西,難免會出現漏洞,現在更多的是出了漏洞就修補。」施華國表示,「更好的方法是,開發者搭建自己的預警平台,這樣的好處是可以實施監控,只要警報響起,就即時把遊戲關掉」。
攻擊頻發,但業內人士表示THE DAO事件不會重現。
當初,THE DAO由於合約漏洞,讓攻擊者可以非法轉移以太幣。而這一次,雖然EOS爆發的安全問題也主要集中在智能合約層面,但在慢霧安全團隊看來,這是源於項目方缺乏安全意識,所寫的代碼存在安全漏洞。
同樣,由於超級節點的存在,只要出現安全問題,可以及時找出原因,即使資金被轉走,超級節點們也可以發揮「超級許可權」:只要有15個超級節點同意,就可以繞過私鑰對某個EOS賬戶擁有絕對的控制權。「不至於像以太坊那樣分叉。」OathProtocol全球合伙人兼CEO徐寅表示。
眼下,EOS雖然安全問題頻繁出現,但不會成為EOS發展的瓶頸。「就是攻防嘛,如果成為了瓶頸就不符合科技的發展趨勢。」施華國坦言,「像windows1995年問世,至今也還有問題,安全是無法避免的,區塊鏈領域的高關注度來源於只要是安全問題便和金錢有關係」。
TAG:幣前線研究社 |