BM只顧埋頭髮展,黑客只管伸手撈錢
文 | 共享財經Neo
BM(EOS創始人)又要頭痛了。
沒錯,老大難問題——黑客來了。
如約而至
作為號稱區塊鏈3.0的EOS,自今年6月份主網上線以來,其發展態勢一直以來就被人們看好,甚至有不少人都認為EOS可以超越以太坊。
而EOS開發人員也做出了巨大努力,從今年6月份到現在,EOS版本已經更新了4次,可以說無論是從效能還是活躍度方面,EOS一直都在為使用者呈現自身強大的發展潛力。
但是,就算是像EOS這樣的天之驕子,也沒有一路順風順水。
如果說以太坊目前的死對頭是像Fomo3D的博彩類遊戲,那麼EOS所要面臨的最大問題就是它的“戀人”:黑客。
9月14日,多個EOS遊戲合約遭到黑客攻擊。據悉,此次攻擊與EOSBet和EOSWin有關。
黑客利用EOSBet智慧合同中的漏洞,從其運營錢包中竊取了4萬EOS(約20萬美元)。EOSBet的一位發言人告訴使用者:“幾個小時前,我們被攻擊了,大約有40000個EOS從我們的資金中被竊取。”“這個bug並不像之前說的那樣輕微,我們還在做取證工作,把發生的事情拼湊起來。”
訊息一出,EOS價格在當日就下跌了1.34%。同比下跌幅度超過了BTC、BCH、ETC等主流幣。
黑客的突然襲擊對於EOS來說,更像是如約而至。有網友統計,自從EOS主網上線以來,已經接連遭受了4次黑客攻擊,再加上這一次,目前為止,已經是那些熱衷於EOS的黑客,第5次從自己“兜裡”拿錢了。
然而,對於這些趕也趕不走,又偏偏對EOS“如膠似漆”的黑客,EOS的表現讓人看來,更多的卻是無可奈何。
苦不堪言
其實在EOS主網上線之前,就屢遭負面新聞纏身。“史詩級”漏洞、百萬私鑰被盜、主網癱瘓,安全問題似乎已經成為了EOS最大的硬傷。
5月29日,國內網路安全公司奇虎360發現了EOS一個嚴重的漏洞,360表示,這一漏洞的存在,使得黑客通過遠端攻擊即可直接控制和監管EOS上執行的所有節點,原始網路保護屏障等同於擺設。交易所被遠端控制,等同於護城河被打通,因此該漏洞被業內成為“史詩級漏洞”。
就此,著名加密貨幣研究者兼康納爾大學教授Emin Gun Sirer批評了EOS的開發人員,他認為這些開發人員沒有去尋求共識協議專家的幫助。他還預言,明年將會有一場大規模利用EOS漏洞的黑客攻擊,而且考慮到開發人員處理關鍵安全問題的方式,這一攻擊的出現很可能是不可避免的。
事實證明,Emin Gun Sirer此番對於EOS的評價,是具有前瞻性的。時間還沒有到明年,EOS已經被黑客折磨的苦不堪言。
7月11日,EOS平臺上的祕鑰,被曝光存有安全隱患,最終的結果是直接損失3000多個EOS代幣。7月16日,因存在假賬號現象,EOS安全風險預警再一次拉響,最終的結果是EOS慘遭鐵滑盧,跌至8.37美元。
時間來到8月份,大熱的Fomo3D的EOS版狼人殺,在上線2天后就被迫停服。原因就是是EOS 智慧合約底層 asset 類存在嚴重缺陷,遭遇黑客攻擊,從而導致60686.4190個EOS被盜。
據360Vulcan團隊情報稱,EOS 智慧合約底層asset類存在嚴重缺陷,在數值計算時存在溢位風險,目前360Vulcan團隊已反饋給EOS官方漏洞平臺。這與慢霧安全團隊7 月 25 日預警的EOS狼人遊戲出現溢位攻擊的根源有一定關係,狼人團隊與慢霧取得聯絡後,與 360Vulcan團隊都通過對合約原始碼進行審計發現,果然asset計算存在該溢位問題。
而從公告中可以看到,官方選擇的方法竟然是規勸黑客歸還EOS。
據記者瞭解,規勸無果後,最終的結果是凍結黑客的錢包賬戶。截至目前,6萬EOS至今下落不明,事情不了了之。
9月10日,有黑客利用EOS投注平臺漏洞連續24次“贏得”獎金,總計約2.4萬美元。DEOSBet是DEOSGames旗下的一個投注平臺,最近在不到一個小時的時間裡,一場去中心化骰子游戲向一位玩家支付了24次獎金,總獎金接近2.4萬美元。DEOSGames已經在其社交媒體上證實了這一漏洞的存在。
再加上前兩天4萬EOS被盜事件,從6月份至今,短短3個多月,黑客已經多次光顧EOS這位老主顧。對此,有網友評論,BM只管埋頭髮展,黑客只管伸手要錢,而背後吃虧的,永遠只是使用者和韭菜。
安全第一
對於EOS這個一年募資40億美元的明星專案,種種負面新聞造就了它兩個極端的評價。支持者認為它是開啟區塊鏈3.0時代,而反對者則認為它是史上最大的空氣幣、傳銷幣,存在著嚴重的安全隱患與欺詐性。
但是,EOS開發人員的敬業程度卻毋庸置疑。事實上,EOS在Github上的進度更新一直高居在上,相比於其它那些掛羊頭賣狗肉的空氣專案,EOS在眾多優質專案中的開發程序,都稱得上是佼佼者。
公開資料顯示,目前為止,加入投票的EOS達到3.833億個,佔EOS總量的38.33%,相比昨天增加約10萬個,增幅為0.026%。參與EOS投票的賬戶達到30761個,相比昨天增加137個。EOS賬戶總數達到322551個,相比上週同期增加18122個。
而在DApp方面,資料顯示,EOS在過去24小時內共有11428名DApp使用者,而以太坊網路則為10562名。此外,EOS7天的DApp交易量為4800萬美元,以太坊僅有2600萬美元。EOS的每日DApp使用者和交易量已經超過了以太坊。
雖說目前EOS的價格持續低迷,但是區塊鏈活躍中有資料統計,EOS的Acticity活躍度排名第5,仍有大批EOS的擁躉。
無論是之前RAM的擴容,側鏈通訊的提出,DPOS演算法的迭代,還是如今新金融服務WORBLI的推出,和近日BM發文要引入資源代幣REX,都代表著EOS的輝煌戰果。
但是,有些飽受安全漏洞折磨的網友並不買賬。有網友稱,“從RAM炒CPU,今天又來了炒資源代幣REX,有這功夫,怎麼不把自己的安全漏洞管好呢,真是越來越看不懂EOS了”。
在此前,也有一位360安全團隊的成員稱,“EOS主網將於6月2日上線,現在他們在GitHub上的更新速度極快,很容易忽視安全問題。”
有業內人士認為,現在的EOS步子太大,過度包裝,雖然一系列新模式、新技術層出不窮。但是其在主網上線之後才開始進行漏洞檢查,其安全審計相對滯後,這種不負責任的態度等於讓持幣者承擔了所有風險和後果。而大肆宣揚其募集資金和成果展示的行為,無疑又為迷途中的黑客點亮了指明燈,從而讓黑客蜂擁而至,躍躍欲試。
再加上21個超級節點過於中心化,容易遭受外部控制。對於之前的“狼人殺丟失6萬EOS事件”,就有媒體分析,與EOS的21個超級節點,Hello EOS的負責人“EOS奶王梓岑”有關。
而EOS創始人BM對於黑客攻擊的態度,往往是靠外懸賞,發現漏洞從而修復。EOS漏洞賞金計劃(1個漏洞1萬美元),已經成為了EOS發現漏洞的主要手段。
比如在6月2日,EOS為360公司支付了3萬美元的致謝費;6月5日,一網友發現了8個漏洞,獲得8萬美元;6月6日,荷蘭黑客GuidoVranken一週找到了12個EOS漏洞,獲得12萬美元;在最近的9月13日,一個名為“yukichen”網友依靠EOS漏洞賞金計劃,在三個月內獲利14萬美元。
但是,這也讓外界為BM打上了“根本不懂網路安全”的標籤。
EOS打著開啟區塊鏈3.0口號,想利用其技術的優勢更加擁抱區塊鏈,從區塊鏈這一潮流中撈取一波紅利,但是卻由此忽視了安全漏洞的問題,導致現如今都黑客纏身。
漏洞並不可怕,可怕的是存在的漏洞並沒有被意識到。對於募集了40億美元,揹負著如此多投資者的信任的EOS,面對漏洞時卻採用"打地鼠"的態度去對待,這樣無法從根本上解決問題。
長此以往,EOS不僅僅會不定時出現大量損失,更會消磨人們對於EOS的信心。