TMT观察网_独特视角观察TMT行业

BM（EOS創(chuàng)始人）又要頭痛了。

沒錯(cuò)，老大難問題——黑客來了。

如約而至

作為號(hào)稱區(qū)塊鏈3.0的EOS，自今年6月份主網(wǎng)上線以來，其發(fā)展態(tài)勢(shì)一直以來就被人們看好，甚至有不少人都認(rèn)為EOS可以超越以太坊。

而EOS開發(fā)人員也做出了巨大努力，從今年6月份到現(xiàn)在，EOS版本已經(jīng)更新了4次，可以說無論是從性能還是活躍度方面，EOS一直都在為用戶呈現(xiàn)自身強(qiáng)大的發(fā)展?jié)摿Α?/span>

但是，就算是像EOS這樣的天之驕子，也沒有一路順風(fēng)順?biāo)?/span>

如果說以太坊目前的死對(duì)頭是像Fomo3D的博彩類游戲，那么EOS所要面臨的最大問題就是它的“戀人”：黑客。

9月14日，多個(gè)EOS游戲合約遭到黑客攻擊。據(jù)悉，此次攻擊與EOSBet和EOSWin有關(guān)。

黑客利用EOSBet智能合同中的漏洞，從其運(yùn)營(yíng)錢包中竊取了4萬EOS(約20萬美元)。EOSBet的一位發(fā)言人告訴用戶:“幾個(gè)小時(shí)前，我們被攻擊了，大約有40000個(gè)EOS從我們的資金中被竊取。”“這個(gè)bug并不像之前說的那樣輕微，我們還在做取證工作，把發(fā)生的事情拼湊起來。”

消息一出，EOS價(jià)格在當(dāng)日就下跌了1.34%。同比下跌幅度超過了BTC、BCH、ETC等主流幣。

黑客的突然襲擊對(duì)于EOS來說，更像是如約而至。有網(wǎng)友統(tǒng)計(jì)，自從EOS主網(wǎng)上線以來，已經(jīng)接連遭受了4次黑客攻擊，再加上這一次，目前為止，已經(jīng)是那些熱衷于EOS的黑客，第5次從自己“兜里”拿錢了。

然而，對(duì)于這些趕也趕不走，又偏偏對(duì)EOS“如膠似漆”的黑客，EOS的表現(xiàn)讓人看來，更多的卻是無可奈何。

苦不堪言

其實(shí)在EOS主網(wǎng)上線之前，就屢遭負(fù)面新聞纏身。“史詩(shī)級(jí)”漏洞、百萬私鑰被盜、主網(wǎng)癱瘓，安全問題似乎已經(jīng)成為了EOS最大的硬傷。

5月29日，國(guó)內(nèi)網(wǎng)絡(luò)安全公司奇虎360發(fā)現(xiàn)了EOS一個(gè)嚴(yán)重的漏洞，360表示，這一漏洞的存在，使得黑客通過遠(yuǎn)程攻擊即可直接控制和監(jiān)管EOS上運(yùn)行的所有節(jié)點(diǎn)，原始網(wǎng)絡(luò)保護(hù)屏障等同于擺設(shè)。交易所被遠(yuǎn)程控制，等同于護(hù)城河被打通，因此該漏洞被業(yè)內(nèi)成為“史詩(shī)級(jí)漏洞”。

就此，著名加密貨幣研究者兼康納爾大學(xué)教授Emin Gun Sirer批評(píng)了EOS的開發(fā)人員，他認(rèn)為這些開發(fā)人員沒有去尋求共識(shí)協(xié)議專家的幫助。他還預(yù)言，明年將會(huì)有一場(chǎng)大規(guī)模利用EOS漏洞的黑客攻擊，而且考慮到開發(fā)人員處理關(guān)鍵安全問題的方式，這一攻擊的出現(xiàn)很可能是不可避免的。

事實(shí)證明，Emin Gun Sirer此番對(duì)于EOS的評(píng)價(jià)，是具有前瞻性的。時(shí)間還沒有到明年，EOS已經(jīng)被黑客折磨的苦不堪言。

7月11日，EOS平臺(tái)上的秘鑰，被曝光存有安全隱患，最終的結(jié)果是直接損失3000多個(gè)EOS代幣。7月16日，因存在假賬號(hào)現(xiàn)象，EOS安全風(fēng)險(xiǎn)預(yù)警再一次拉響，最終的結(jié)果是EOS慘遭鐵滑盧，跌至8.37美元。

時(shí)間來到8月份，大熱的Fomo3D的EOS版狼人殺，在上線2天后就被迫停服。原因就是是EOS 智能合約底層 asset 類存在嚴(yán)重缺陷，遭遇黑客攻擊，從而導(dǎo)致60686.4190個(gè)EOS被盜。

據(jù)360Vulcan團(tuán)隊(duì)情報(bào)稱，EOS 智能合約底層asset類存在嚴(yán)重缺陷，在數(shù)值計(jì)算時(shí)存在溢出風(fēng)險(xiǎn)，目前360Vulcan團(tuán)隊(duì)已反饋給EOS官方漏洞平臺(tái)。這與慢霧安全團(tuán)隊(duì)7 月 25 日預(yù)警的EOS狼人游戲出現(xiàn)溢出攻擊的根源有一定關(guān)系，狼人團(tuán)隊(duì)與慢霧取得聯(lián)系后，與 360Vulcan團(tuán)隊(duì)都通過對(duì)合約源碼進(jìn)行審計(jì)發(fā)現(xiàn)，果然asset計(jì)算存在該溢出問題。

而從公告中可以看到，官方選擇的方法竟然是規(guī)勸黑客歸還EOS。

據(jù)記者了解，規(guī)勸無果后，最終的結(jié)果是凍結(jié)黑客的錢包賬戶。截至目前，6萬EOS至今下落不明，事情不了了之。

9月10日，有黑客利用EOS投注平臺(tái)漏洞連續(xù)24次“贏得”獎(jiǎng)金，總計(jì)約2.4萬美元。DEOSBet是DEOSGames旗下的一個(gè)投注平臺(tái)，最近在不到一個(gè)小時(shí)的時(shí)間里，一場(chǎng)去中心化骰子游戲向一位玩家支付了24次獎(jiǎng)金，總獎(jiǎng)金接近2.4萬美元。DEOSGames已經(jīng)在其社交媒體上證實(shí)了這一漏洞的存在。

再加上前兩天4萬EOS被盜事件，從6月份至今，短短3個(gè)多月，黑客已經(jīng)多次光顧EOS這位老主顧。對(duì)此，有網(wǎng)友評(píng)論，BM只管埋頭發(fā)展，黑客只管伸手要錢，而背后吃虧的，永遠(yuǎn)只是用戶和韭菜。

安全第一

對(duì)于EOS這個(gè)一年募資40億美元的明星項(xiàng)目，種種負(fù)面新聞造就了它兩個(gè)極端的評(píng)價(jià)。支持者認(rèn)為它是開啟區(qū)塊鏈3.0時(shí)代，而反對(duì)者則認(rèn)為它是史上最大的空氣幣、傳銷幣，存在著嚴(yán)重的安全隱患與欺詐性。

但是，EOS開發(fā)人員的敬業(yè)程度卻毋庸置疑。事實(shí)上，EOS在Github上的進(jìn)度更新一直高居在上，相比于其它那些掛羊頭賣狗肉的空氣項(xiàng)目，EOS在眾多優(yōu)質(zhì)項(xiàng)目中的開發(fā)進(jìn)程，都稱得上是佼佼者。

公開數(shù)據(jù)顯示，目前為止，加入投票的EOS達(dá)到3.833億個(gè)，占EOS總量的38.33%，相比昨天增加約10萬個(gè)，增幅為0.026%。參與EOS投票的賬戶達(dá)到30761個(gè)，相比昨天增加137個(gè)。EOS賬戶總數(shù)達(dá)到322551個(gè)，相比上周同期增加18122個(gè)。

而在DApp方面，數(shù)據(jù)顯示，EOS在過去24小時(shí)內(nèi)共有11428名DApp用戶，而以太坊網(wǎng)絡(luò)則為10562名。此外，EOS7天的DApp交易量為4800萬美元，以太坊僅有2600萬美元。EOS的每日DApp用戶和交易量已經(jīng)超過了以太坊。

雖說目前EOS的價(jià)格持續(xù)低迷，但是區(qū)塊鏈活躍中有數(shù)據(jù)統(tǒng)計(jì)，EOS的Acticity活躍度排名第5，仍有大批EOS的擁躉。

無論是之前RAM的擴(kuò)容，側(cè)鏈通訊的提出，DPOS算法的迭代，還是如今新金融服務(wù)WORBLI的推出，和近日BM發(fā)文要引入資源代幣REX，都代表著EOS的輝煌戰(zhàn)果。

但是，有些飽受安全漏洞折磨的網(wǎng)友并不買賬。有網(wǎng)友稱，“從RAM炒CPU，今天又來了炒資源代幣REX，有這功夫，怎么不把自己的安全漏洞管好呢，真是越來越看不懂EOS了”。

在此前，也有一位360安全團(tuán)隊(duì)的成員稱，“EOS主網(wǎng)將于6月2日上線，現(xiàn)在他們?cè)贕itHub上的更新速度極快，很容易忽視安全問題。”

有業(yè)內(nèi)人士認(rèn)為，現(xiàn)在的EOS步子太大，過度包裝，雖然一系列新模式、新技術(shù)層出不窮。但是其在主網(wǎng)上線之后才開始進(jìn)行漏洞檢查，其安全審計(jì)相對(duì)滯后，這種不負(fù)責(zé)任的態(tài)度等于讓持幣者承擔(dān)了所有風(fēng)險(xiǎn)和后果。而大肆宣揚(yáng)其募集資金和成果展示的行為，無疑又為迷途中的黑客點(diǎn)亮了指明燈，從而讓黑客蜂擁而至，躍躍欲試。

再加上21個(gè)超級(jí)節(jié)點(diǎn)過于中心化，容易遭受外部控制。對(duì)于之前的“狼人殺丟失6萬EOS事件”，就有媒體分析，與EOS的21個(gè)超級(jí)節(jié)點(diǎn)，Hello EOS的負(fù)責(zé)人“EOS奶王梓岑”有關(guān)。

而EOS創(chuàng)始人BM對(duì)于黑客攻擊的態(tài)度，往往是靠外懸賞，發(fā)現(xiàn)漏洞從而修復(fù)。EOS漏洞賞金計(jì)劃（1個(gè)漏洞1萬美元），已經(jīng)成為了EOS發(fā)現(xiàn)漏洞的主要手段。

比如在6月2日，EOS為360公司支付了3萬美元的致謝費(fèi)；6月5日，一網(wǎng)友發(fā)現(xiàn)了8個(gè)漏洞，獲得8萬美元；6月6日，荷蘭黑客GuidoVranken一周找到了12個(gè)EOS漏洞，獲得12萬美元；在最近的9月13日，一個(gè)名為“yukichen”網(wǎng)友依靠EOS漏洞賞金計(jì)劃，在三個(gè)月內(nèi)獲利14萬美元。

但是，這也讓外界為BM打上了“根本不懂網(wǎng)絡(luò)安全”的標(biāo)簽。

EOS打著開啟區(qū)塊鏈3.0口號(hào)，想利用其技術(shù)的優(yōu)勢(shì)更加擁抱區(qū)塊鏈，從區(qū)塊鏈這一潮流中撈取一波紅利，但是卻由此忽視了安全漏洞的問題，導(dǎo)致現(xiàn)如今都黑客纏身。

漏洞并不可怕，可怕的是存在的漏洞并沒有被意識(shí)到。對(duì)于募集了40億美元，背負(fù)著如此多投資者的信任的EOS，面對(duì)漏洞時(shí)卻采用"打地鼠"的態(tài)度去對(duì)待，這樣無法從根本上解決問題。

長(zhǎng)此以往，EOS不僅僅會(huì)不定時(shí)出現(xiàn)大量損失，更會(huì)消磨人們對(duì)于EOS的信心。