EOS給智慧合約留後門,DApp開發者可隨意訪問使用者錢包
某EOS DApp因為搞砸了一次空投而遭到了社群的圍攻。Trybe因為不小心給使用者發了太多的代幣,居然在並未提前告知的情況下進入使用者錢包撤回了交易。
Trybe開發者在空投過程中操作失誤,給其中100多個EOS賬戶發了比原定資金多出了4倍的幣。某遊戲開發者在社交媒體上公開了他的EOS賬戶記錄,他發現自己的賬戶裡出現了大量的TRYBE代幣。
上圖顯示的程式碼就證明了Trybe開發者進入了這個賬戶。開發者在沒有獲得授權的前提下取回了錯發的加密貨幣——8740TRYBE(約60美元)。有些使用者甚至根本不知情。
事實上,EOS智慧合約開發者可以任意修改合約,這是一種故意的設計。開發者通常會將其視為EOS區塊鏈的重要功能,與其它競爭者完全不同。
相比之下,以太坊的智慧合約就是不可篡改的,要想修復智慧合約的錯誤,以太坊DApp開發者必須進行硬分叉。而EOS智慧合約是可篡改的。
所有部署在EOS區塊鏈上的智慧合約在釋出之後都可以在不預先通知的情況下,隨時被編輯、更新並且更改。
使用者只能通過自己審查程式碼來防止智慧合約的惡意更新。
Trybe開發團隊在Reddit上承認凍結了所有代幣活動,進入了使用者錢包並且取回了多餘的資金。
其創始人Tom Norwood表示:
完全依賴EOS程式碼庫來運作我們的平臺或許是我們疏忽了,但這並不是我們的錯。你們也知道,這是一個全新的軟體,沒有曝出更多bug就已經是一個奇蹟了。
當事情沒有按照原定計劃進行時,EOS(和大多數區塊鏈不同)的確會提供額外的選項。所以說,如果你想攻擊我們或者攻擊EOS,那就隨你的便吧。我們認為自己的決定是正確的,寧願撤回交易,也不會把大量的資金留在少數人的錢包裡……順便提一下, 這個功能不僅僅對TRYBE代幣有效,對EOS上面的所有代幣都是有效的 ,而且我對這個功能很滿意……
同樣的情況曾經多次發生在EOS區塊鏈上。BP也曾凍結過一些EOS賬戶。最值得注意的是,曾有7個EOS錢包被非法侵入,目的是為了取回所謂被盜的資金。
Trybe首席開發者Nathan Rempel近期提出了自治社群(DAOs)的想法,即將決定權交給利益相關者。Rempel認為這樣能夠幫助使用者信任EOS DApp。
這樣是否會導致中心化的控制權?是的。那麼中心化的控制是壞事嗎?不總是。對可篡改的東西進行去中心化的控制將會成為信任可篡改性的關鍵。當整個社群都能參與決策的過程,他們就會信任這些決策。
聽起來好像很美好,但我們還沒有忘記DAOs有多糟糕。
Rempel的觀點引發了對去中心化的探討。只有部署不可篡改的智慧合約才能離去中心化更近一步。智慧合約在釋出之後就不能被任意修改,這樣才能確保沒有人有權直接左右一種加密貨幣。
事實上,以太坊就是為了尊重這種不可更改性,才會出現價值數百萬美元的以太坊被凍結在Parity錢包的情況。
也就是說,至少對以太坊來說,去中心化的決策過程比凍結在網路空間中的幾百萬美元更有價值。而對Trybe來說,去中心化大概只值60美元。
發文時比特幣價格 ¥43936.96