EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万

区块链Truth 2018-12-04

在漫长的熊市中,最热闹的除了各种花样百出的维权,或许只有 EOS 了。这支上线不到半年的公链,如今已有 200 个 DApp,50 多万用户,日交易额最高 1 亿元。似乎可以证明,EOS 开启了区块链 3.0 时代。

但是倘若深究一下,不难发现,这样的火热有些许夸大了。在 50 多万账户里,只有 18 万活跃账号,其余大多是羊毛党和刷量党创建的群控账号或者沉默账号。

与此同时,从诞生之初,EOS 就伴随着一次又一次的安全事故。据 PeckShiled 给出的数据显示,截至 11 月 26 日,EOS 共发生 27 起 DApp 安全事故,损失近 40 万个 EOS,价值超过 800 万(以最新价格计算)人民币。

虚假繁荣,安全事故频发,曾经被寄予厚望的 EOS 似乎正在走下神坛 ...... 一个不容忽视的事实是,除去假数据,EOS 依然是 DApp 生态最活跃的公链,这或许是它作为「公链之王」最有利的证据。

作者:林默默
编辑:贺树龙

高歌猛进的 EOS

2018 年 8 月底,EOS 终于迎来自己的高光时刻。

首先是交易额。伴随着 ETH 上 Fomo3d 游戏的降温,EOS 第一次实现了超越——8 月 25 日,EOS 上 DApp 交易额为 705 万元,是 ETH DApp 交易额 255 万元的近 3 倍。

其次是日活。9 月 18 日,EOS DApp 日活(12009)首次超越 ETH DApp 日活(10136)。

随后,EOS 再也没有给 ETH 反超的机会。主网上线不到 6 个月,其日活是 ETH 的近 9 倍,交易额最高是 ETH 的 10 倍左右。

这似乎坐实了 EOS 是「公链之王」的名称。这个 BM 精心打造的项目从一出生开始就吸引了诸多人的目光,甚至有着时间最长、募资金额最高的众筹。投资者们用真金白银押注未来的公链之王,他们期待着白皮书中提到的百万 TPS 成为现实。因为这样的速度,意味着区块链不再是概念,而是让大规模应用落地有了可能。

如今,EOS 交出了一份不错的成绩单。根据 DApp radar 数据显示,上线三年的 ETH 现有 1500 个 DApp,而上线不到半年的 EOS 就有近 200 个 DApp。带有一点讽刺意味的是,这些 DApp 大部分是菠菜和游戏为主,菠菜类 DApp 占比超过一半。

这并不影响 EOS 成为寒冬里最火热的明星。排名第一的 DApp EOSBet,24 小时成交近 80 万个 EOS。同时,根据相关数据显示,整个 EOS 生态现有近 50 万用户。

但是如果进一步探究,不难发现这样的火热似乎有点儿虚假。

真实用户只有三成

首先,EOS DApp 上的 50 万用户暗藏端倪。

据 PeckShield 给出的数据显示,在 EOS 50 多万用户中,有近 12 万个账号为群控账号,20 多万个账号为沉默账号,这就意味真正的活跃用户只占 37%,不到一半。

「EOS 上 DApp 在 9 月底开始爆发,并在不到 1 个月内迅猛增长,那些天全网的 DAU 数据一下子暴增,数据量在几天内翻了好几倍。但随着 EOS DApp 的热度升高,从数据显示,10 月 4 日群控账号开始入场了」PeckShield 高级安全专家施华国表示。

这些群控账号大部分是被相同的人操控的子账号,而沉默账号则分为两类,「一部分是用户注册的创世账号,但用户已经忘了,另一部分是有些用户为了抢靓号,随便注册的」。施华国表示。

虽然并不能查出来具体是谁在控制这些群控账号,但施华国给出了可能操控账号的两类人群:羊毛党和刷量党。

EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万数据来源于 PeckShield

一些 DApp 在拉新时通常会采用类似幸运抽奖的机制。据 IMEOS 研究院给出的数据显示,在 BetDice 游戏中羊毛党账号数最多可达 3.3 万多个,而其日活用户最高为 3.5 万。

刷量则形成了完整的产业链。「有网站是专门来刷 DAU 的,明码标价。比如排名第一,要价 300 个柚子,现在刷量的利润规模还没有完全爆发,一些项目方也会自己刷。」业内人士表示。

虽然账号都是假的,但项目方明显更喜欢后者。这是因为只有把 DAU 拉高,C 端用户才可以在 DApp 排行榜上看到,才有入场的可能。

为了占据排行榜首位,刷量行为有增无减。「目前看来,刷量还是有很大的市场的。」施华国说,「11 月 30 日,我们的数据显示 EOS 用户到达了 55 万个,10 天内增长了近 5 万个用户,这其中还有 2 万多的假量。」

刷量并非 EOS 独有。「其实每个生态只要有热度,就会有黑产灰产出场,刷量行为算其中的一种。早期 ETH 也出现过刷量现象,但是由于当时 ETH DApp 用户规模太小,再加上每刷一次就要花费 GAS 费用(约 1.8 元)没有太大利润空间,但现在的 EOS 是免交易手续费的,刷量也要看投入和产出嘛。」施华国告诉我们。

因为有利润可赚,EOS 成了刷量党和羊毛党的重灾区。

EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万EOS 真实 DAU

必须要说的是,这些非真实账号并没有对交易额产生影响。在 DAU 方面,如果抛开二者(群控账号和沉默账号),从今年 10 月开始,EOS 的真实 DAU 也已经远远超超了以太坊。

这就意味着 EOS 依然是 DApp 生态最活跃的公链。

安全事故频发,损失 40 万个 EOS

其次,EOS 频繁出现各种安全事故。

今年 5 月 29 日,360 团队表示经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。29 日凌晨,漏洞公布前,360 已第一时间将该类漏洞上报 EOS 官方,并协助其修复安全隐患。

EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万PeckShiled 分享的数据

虽然得以在 6 月上线,但安全问题一直跟随着 EOS。PeckShiled 给出的数据显示,从上线之初截至 11 月 26 日,EOS 共发生 27 起 DApp 安全事故,损失近 40 万个 EOS,价值超过 800 万(以最新价格计算)人民币。

安全隐患频出,原因究竟在系统本身还是开发者?在施华国看来,这些安全事故主要是 EOS 生态刚起步才不到 6 个月,系统本身会存在漏洞,还在逐步完善改进的阶段。以 7 月底的狼人游戏遭受溢出攻击、8 月 EOSBet 出现合约 RAM 吞噬问题为例子,这两者都属于系统安全问题。

EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万数据来源于 PeckShiled

但随着时间的后移,更多的攻击则是因为 DApp 开发者的疏忽。10 月,因为假转账问题,14.5 万个 EOS 被盗。「这其实是没有校验转账数据的非常简单的攻击手段。比如你给另一个人转钱,然后通知给游戏说转账玩游戏了,但游戏收到通知后并没有验证真正的收钱方是谁,是早期的一个漏洞。」施华国表示。11 月之后频繁出现的随机数攻击问题,则都属于开发逻辑问题。

Armors 合伙人郭永刚曾透露,最近 EOS DApp 发生的被攻击事件大部分以随机数攻击为主,并非 EOS 本身的 bug,项目方在开发过程中,应尽可能让随机数生成的规则复杂,增加猜测难度。

施华国表示,对于开发者而言,DApp 还是一个全新的尝试,尤其是合约使用 C++语言开发,上手难度更大,更容易出现各种逻辑处理不严谨的问题。

「只要是开发者开发的东西,难免会出现漏洞,现在更多的是出了漏洞就修补。」施华国表示,「更好的方法是,开发者搭建自己的预警平台,这样的好处是可以实施监控,只要警报响起,就即时把游戏关掉」。

攻击频发,但业内人士表示 THE DAO 事件不会重现。

当初,THE DAO 由于合约漏洞,让攻击者可以非法转移以太币。而这一次,虽然 EOS 爆发的安全问题也主要集中在智能合约层面,但在慢雾安全团队看来,这是源于项目方缺乏安全意识,所写的代码存在安全漏洞。

同样,由于超级节点的存在,只要出现安全问题,可以及时找出原因,即使资金被转走,超级节点们也可以发挥「超级权限」:只要有 15 个超级节点同意,就可以绕过私钥对某个 EOS 账户拥有绝对的控制权。「不至于像以太坊那样分叉。」OathProtocol 全球合伙人兼 CEO 徐寅表示。

眼下,EOS 虽然安全问题频繁出现,但不会成为 EOS 发展的瓶颈。「就是攻防嘛,如果成为了瓶颈就不符合科技的发展趋势。」施华国坦言,「像 windows1995 年问世,至今也还有问题,安全是无法避免的,区块链领域的高关注度来源于只要是安全问题便和金钱有关系」。

举报

链闻 ChainNews 信息平台,诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。如您发现这篇文章含有敏感信息,请点击「举报」,我们会及时调查,并进行处理。

你可能感兴趣

    App

    链闻 App

    扫码下载

    公众号 小程序