出品 / 區塊鏈真相
作者 / 林默默
編輯 / 賀樹龍
在漫長的熊市中,最熱鬧的除了各種花樣百出的維權,或許只有 EOS 了。
這支上線不到半年的公鏈,如今已有 200 個 DApp,50 多萬用戶,日交易額最高 1 億元。似乎可以證明,EOS 開啓了區塊鏈 3.0 時代。
但是倘若深究一下,不難發現,這樣的火熱有些許誇大了。在 50 多萬賬戶裏,只有 18 萬活躍賬號,其餘大多是羊毛黨和刷量黨創建的羣控賬號或者沉默賬號。
與此同時,從誕生之初,EOS 就伴隨着一次又一次的安全事故。據 PeckShiled 給出的數據顯示,截至 11 月 26 日,EOS 共發生 27 起 DApp 安全事故,損失近 40 萬個 EOS,價值超過 800 萬(以最新價格計算)人民幣。
虛假繁榮,安全事故頻發,曾經被寄予厚望的 EOS 似乎正在走下神壇 …… 一個不容忽視的事實是,除去假數據,EOS 依然是 DApp 生態最活躍的公鏈,這或許是它作爲“公鏈之王”最有利的證據。
高歌猛進的 EOS
****
2018 年 8 月底,EOS 終於迎來自己的高光時刻。
首先是交易額。伴隨着 ETH 上 Fomo3d 遊戲的降溫,EOS 第一次實現了超越——8 月 25 日,EOS 上 DApp 交易額爲 705 萬元,是 ETH DApp 交易額 255 萬元的近 3 倍。
其次是日活。9 月 18 日,EOS DApp 日活(12009)首次超越 ETH DApp 日活(10136)。
隨後,EOS 再也沒有給 ETH 反超的機會。主網上線不到 6 個月,其日活是 ETH 的近 9 倍,交易額最高是 ETH 的 10 倍左右。
這似乎坐實了 EOS 是“公鏈之王”的名稱。這個 BM 精心打造的項目從一出生開始就吸引了諸多人的目光,甚至有着時間最長、募資金額最高的衆籌。投資者們用真金白銀押注未來的公鏈之王,他們期待着白皮書中提到的百萬 TPS 成爲現實。因爲這樣的速度,意味着區塊鏈不再是概念,而是讓大規模應用落地有了可能。
如今,EOS 交出了一份不錯的成績單。根據 DApp radar 數據顯示,上線三年的 ETH 現有 1500 個 DApp,而上線不到半年的 EOS 就有近 200 個 DApp。帶有一點諷刺意味的是,這些 DApp 大部分是菠菜和遊戲爲主,菠菜類 DApp 佔比超過一半。
這並不影響 EOS 成爲寒冬裏最火熱的明星。排名第一的 DApp EOSBet,24 小時成交近 80 萬個 EOS。同時,根據相關數據顯示,整個 EOS 生態現有近 50 萬用戶。
但是如果進一步探究,不難發現這樣的火熱似乎有點兒虛假。
真實用戶只有三成
****
首先,EOS DApp 上的 50 萬用戶暗藏端倪。
據 PeckShield 給出的數據顯示,在 EOS 50 多萬用戶中,有近 12 萬個賬號爲羣控賬號,20 多萬個賬號爲沉默賬號,這就意味真正的活躍用戶只佔 37%,不到一半。
“EOS 上 DApp 在 9 月底開始爆發,並在不到 1 個月內迅猛增長,那些天全網的 DAU 數據一下子暴增,數據量在幾天內翻了好幾倍。但隨着 EOS DApp 的熱度升高,從數據顯示,10 月 4 日羣控賬號開始入場了。”PeckShield 高級安全專家施華國對區塊鏈 Truth (ID:chaintruth)表示。
這些羣控賬號大部分是被相同的人操控的子賬號,而沉默賬號則分爲兩類,“一部分是用戶註冊的創世賬號,但用戶已經忘了,另一部分是有些用戶爲了搶靚號,隨便註冊的”。施華國表示。
雖然並不能查出來具體是誰在控制這些羣控賬號,但施華國給出了可能操控賬號的兩類人羣:羊毛黨和刷量黨。
**
**
數據來源於 PeckShield
一些 DApp 在拉新時通常會採用類似幸運抽獎的機制。據 IMEOS 研究院給出的數據顯示,在 BetDice 遊戲中羊毛黨賬號數最多可達 3.3 萬多個,而其日活用戶最高爲 3.5 萬。
刷量則形成了完整的產業鏈。“有網站是專門來刷 DAU 的,明碼標價。比如排名第一,要價 300 個柚子,現在刷量的利潤規模還沒有完全爆發,一些項目方也會自己刷。”業內人士告訴區塊鏈 Truth。
雖然賬號都是假的,但項目方明顯更喜歡後者。這是因爲只有把 DAU 拉高,C 端用戶纔可以在 DApp 排行榜上看到,纔有入場的可能。
爲了佔據排行榜首位,刷量行爲有增無減。“目前看來,刷量還是有很大的市場的。”施華國告訴區塊鏈 Truth,“11 月 30 日,我們的數據顯示 EOS 用戶到達了 55 萬個,10 天內增長了近 5 萬個用戶,這其中還有 2 萬多的假量。”
刷量並非 EOS 獨有。“其實每個生態只要有熱度,就會有黑產灰產出場,刷量行爲算其中的一種。早期 ETH 也出現過刷量現象,但是由於當時 ETH DApp 用戶規模太小,再加上每刷一次就要花費 GAS 費用(約 1.8 元)沒有太大利潤空間,但現在的 EOS 是免交易手續費的,刷量也要看投入和產出嘛。”施華國告訴區塊鏈 Truth。
因爲有利潤可賺,EOS 成了刷量黨和羊毛黨的重災區。
EOS 真實 DAU
必須要說的是,這些非真實賬號並沒有對交易額產生影響。在 DAU 方面,如果拋開二者(羣控賬號和沉默賬號),從今年 10 月開始,EOS 的真實 DAU 也已經遠遠超超了以太坊。
這就意味着 EOS 依然是 DApp 生態最活躍的公鏈。
安全事故頻發 損失 40 萬個 EOS
****
其次,EOS 頻繁出現各種安全事故。
今年 5 月 29 日,360 團隊表示經驗證,其中部分漏洞可以在 EOS 節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管 EOS 上運行的所有節點。29 日凌晨,漏洞公佈前,360 已第一時間將該類漏洞上報 EOS 官方,並協助其修復安全隱患。
PeckShiled 分享的數據
雖然得以在 6 月上線,但安全問題一直跟隨着 EOS。PeckShiled 給出的數據顯示,從上線之初截至 11 月 26 日,EOS 共發生 27 起 DApp 安全事故,損失近 40 萬個 EOS,價值超過 800 萬(以最新價格計算)人民幣。
安全隱患頻出,原因究竟在系統本身還是開發者?在施華國看來,這些安全事故主要是 EOS 生態剛起步纔不到 6 個月,系統本身會存在漏洞,還在逐步完善改進的階段。以 7 月底的狼人遊戲遭受溢出攻擊、8 月 EOSBet 出現合約 RAM 吞噬問題爲例子,這兩者都屬於系統安全問題。
數據來源於 PeckShiled
但隨着時間的後移,更多的攻擊則是因爲 DApp 開發者的疏忽。10 月,因爲假轉賬問題,14.5 萬個 EOS 被盜。“這其實是沒有校驗轉賬數據的非常簡單的攻擊手段。比如你給另一個人轉錢,然後通知給遊戲說轉賬玩遊戲了,但遊戲收到通知後並沒有驗證真正的收錢方是誰,是早期的一個漏洞。”施華國表示。11 月之後頻繁出現的隨機數攻擊問題,則都屬於開發邏輯問題。
Armors 合夥人郭永剛曾透露,最近 EOS DApp 發生的被攻擊事件大部分以隨機數攻擊爲主,並非 EOS 本身的 bug,項目方在開發過程中,應儘可能讓隨機數生成的規則複雜,增加猜測難度。
施華國表示,對於開發者而言,DApp 還是一個全新的嘗試,尤其是合約使用 C++語言開發,上手難度更大,更容易出現各種邏輯處理不嚴謹的問題。
“只要是開發者開發的東西,難免會出現漏洞,現在更多的是出了漏洞就修補。”施華國表示,“更好的方法是,開發者搭建自己的預警平臺,這樣的好處是可以實施監控,只要警報響起,就即時把遊戲關掉”。
攻擊頻發,但業內人士表示 THE DAO 事件不會重現。
當初,THE DAO 由於合約漏洞,讓攻擊者可以非法轉移以太幣。而這一次,雖然 EOS 爆發的安全問題也主要集中在智能合約層面,但在慢霧安全團隊看來,這是源於項目方缺乏安全意識,所寫的代碼存在安全漏洞。
同樣,由於超級節點的存在,只要出現安全問題,可以及時找出原因,即使資金被轉走,超級節點們也可以發揮“超級權限”:只要有 15 個超級節點同意,就可以繞過私鑰對某個 EOS 賬戶擁有絕對的控制權。“不至於像以太坊那樣分叉。”OathProtocol 全球合夥人兼 CEO 徐寅表示。
眼下,EOS 雖然安全問題頻繁出現,但不會成爲 EOS 發展的瓶頸。“就是攻防嘛,如果成爲了瓶頸就不符合科技的發展趨勢。”施華國坦言,“像 windows1995 年問世,至今也還有問題,安全是無法避免的,區塊鏈領域的高關注度來源於只要是安全問題便和金錢有關係”。
繁體中文
简体中文
English
日本語
Español