LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 行情分析 > EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万

EOS 虚假繁荣:仅三成真实用户,半年被盗 800 万

2020-04-14 区块链Truth 来源:链闻

在漫长的熊市中,最热闹的除了各种花样百出的维权,或许只有 EOS 了。这支上线不到半年的公链,如今已有 200 个 DApp,50 多万用户,日交易额最高 1 亿元。似乎可以证明,EOS 开启了区块链 3.0 时代。

但是倘若深究一下,不难发现,这样的火热有些许夸大了。在 50 多万账户里,只有 18 万活跃账号,其余大多是羊毛党和刷量党创建的群控账号或者沉默账号。

与此同时,从诞生之初,EOS 就伴随着一次又一次的安全事故。据 PeckShiled 给出的数据显示,截至 11 月 26 日,EOS 共发生 27 起 DApp 安全事故,损失近 40 万个 EOS,价值超过 800 万(以最新价格计算)人民币。

虚假繁荣,安全事故频发,曾经被寄予厚望的 EOS 似乎正在走下神坛 ...... 一个不容忽视的事实是,除去假数据,EOS 依然是 DApp 生态最活跃的公链,这或许是它作为「公链之王」最有利的证据。

作者:林默默
编辑:贺树龙

高歌猛进的 EOS

2018 年 8 月底,EOS 终于迎来自己的高光时刻。

首先是交易额。伴随着 ETH 上 Fomo3d 游戏的降温,EOS 第一次实现了超越——8 月 25 日,EOS 上 DApp 交易额为 705 万元,是 ETH DApp 交易额 255 万元的近 3 倍。

其次是日活。9 月 18 日,EOS DApp 日活(12009)首次超越 ETH DApp 日活(10136)。

随后,EOS 再也没有给 ETH 反超的机会。主网上线不到 6 个月,其日活是 ETH 的近 9 倍,交易额最高是 ETH 的 10 倍左右。

这似乎坐实了 EOS 是「公链之王」的名称。这个 BM 精心打造的项目从一出生开始就吸引了诸多人的目光,甚至有着时间最长、募资金额最高的众筹。投资者们用真金白银押注未来的公链之王,他们期待着白皮书中提到的百万 TPS 成为现实。因为这样的速度,意味着区块链不再是概念,而是让大规模应用落地有了可能。

如今,EOS 交出了一份不错的成绩单。根据 DApp radar 数据显示,上线三年的 ETH 现有 1500 个 DApp,而上线不到半年的 EOS 就有近 200 个 DApp。带有一点讽刺意味的是,这些 DApp 大部分是菠菜和游戏为主,菠菜类 DApp 占比超过一半。

这并不影响 EOS 成为寒冬里最火热的明星。排名第一的 DApp EOSBet,24 小时成交近 80 万个 EOS。同时,根据相关数据显示,整个 EOS 生态现有近 50 万用户。

但是如果进一步探究,不难发现这样的火热似乎有点儿虚假。

真实用户只有三成

首先,EOS DApp 上的 50 万用户暗藏端倪。

据 PeckShield 给出的数据显示,在 EOS 50 多万用户中,有近 12 万个账号为群控账号,20 多万个账号为沉默账号,这就意味真正的活跃用户只占 37%,不到一半。

「EOS 上 DApp 在 9 月底开始爆发,并在不到 1 个月内迅猛增长,那些天全网的 DAU 数据一下子暴增,数据量在几天内翻了好几倍。但随着 EOS DApp 的热度升高,从数据显示,10 月 4 日群控账号开始入场了」PeckShield 高级安全专家施华国表示。

这些群控账号大部分是被相同的人操控的子账号,而沉默账号则分为两类,「一部分是用户注册的创世账号,但用户已经忘了,另一部分是有些用户为了抢靓号,随便注册的」。施华国表示。

虽然并不能查出来具体是谁在控制这些群控账号,但施华国给出了可能操控账号的两类人群:羊毛党和刷量党。

数据来源于 PeckShield

一些 DApp 在拉新时通常会采用类似幸运抽奖的机制。据 IMEOS 研究院给出的数据显示,在 BetDice 游戏中羊毛党账号数最多可达 3.3 万多个,而其日活用户最高为 3.5 万。

刷量则形成了完整的产业链。「有网站是专门来刷 DAU 的,明码标价。比如排名第一,要价 300 个柚子,现在刷量的利润规模还没有完全爆发,一些项目方也会自己刷。」业内人士表示。

虽然账号都是假的,但项目方明显更喜欢后者。这是因为只有把 DAU 拉高,C 端用户才可以在 DApp 排行榜上看到,才有入场的可能。

为了占据排行榜首位,刷量行为有增无减。「目前看来,刷量还是有很大的市场的。」施华国说,「11 月 30 日,我们的数据显示 EOS 用户到达了 55 万个,10 天内增长了近 5 万个用户,这其中还有 2 万多的假量。」

刷量并非 EOS 独有。「其实每个生态只要有热度,就会有黑产灰产出场,刷量行为算其中的一种。早期 ETH 也出现过刷量现象,但是由于当时 ETH DApp 用户规模太小,再加上每刷一次就要花费 GAS 费用(约 1.8 元)没有太大利润空间,但现在的 EOS 是免交易手续费的,刷量也要看投入和产出嘛。」施华国告诉我们。

因为有利润可赚,EOS 成了刷量党和羊毛党的重灾区。

EOS 真实 DAU

必须要说的是,这些非真实账号并没有对交易额产生影响。在 DAU 方面,如果抛开二者(群控账号和沉默账号),从今年 10 月开始,EOS 的真实 DAU 也已经远远超超了以太坊。

这就意味着 EOS 依然是 DApp 生态最活跃的公链。

安全事故频发,损失 40 万个 EOS

其次,EOS 频繁出现各种安全事故。

今年 5 月 29 日,360 团队表示经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。29 日凌晨,漏洞公布前,360 已第一时间将该类漏洞上报 EOS 官方,并协助其修复安全隐患。

PeckShiled 分享的数据

虽然得以在 6 月上线,但安全问题一直跟随着 EOS。PeckShiled 给出的数据显示,从上线之初截至 11 月 26 日,EOS 共发生 27 起 DApp 安全事故,损失近 40 万个 EOS,价值超过 800 万(以最新价格计算)人民币。

安全隐患频出,原因究竟在系统本身还是开发者?在施华国看来,这些安全事故主要是 EOS 生态刚起步才不到 6 个月,系统本身会存在漏洞,还在逐步完善改进的阶段。以 7 月底的狼人游戏遭受溢出攻击、8 月 EOSBet 出现合约 RAM 吞噬问题为例子,这两者都属于系统安全问题。

数据来源于 PeckShiled

但随着时间的后移,更多的攻击则是因为 DApp 开发者的疏忽。10 月,因为假转账问题,14.5 万个 EOS 被盗。「这其实是没有校验转账数据的非常简单的攻击手段。比如你给另一个人转钱,然后通知给游戏说转账玩游戏了,但游戏收到通知后并没有验证真正的收钱方是谁,是早期的一个漏洞。」施华国表示。11 月之后频繁出现的随机数攻击问题,则都属于开发逻辑问题。

Armors 合伙人郭永刚曾透露,最近 EOS DApp 发生的被攻击事件大部分以随机数攻击为主,并非 EOS 本身的 bug,项目方在开发过程中,应尽可能让随机数生成的规则复杂,增加猜测难度。

施华国表示,对于开发者而言,DApp 还是一个全新的尝试,尤其是合约使用 C++语言开发,上手难度更大,更容易出现各种逻辑处理不严谨的问题。

「只要是开发者开发的东西,难免会出现漏洞,现在更多的是出了漏洞就修补。」施华国表示,「更好的方法是,开发者搭建自己的预警平台,这样的好处是可以实施监控,只要警报响起,就即时把游戏关掉」。

攻击频发,但业内人士表示 THE DAO 事件不会重现。

当初,THE DAO 由于合约漏洞,让攻击者可以非法转移以太币。而这一次,虽然 EOS 爆发的安全问题也主要集中在智能合约层面,但在慢雾安全团队看来,这是源于项目方缺乏安全意识,所写的代码存在安全漏洞。

同样,由于超级节点的存在,只要出现安全问题,可以及时找出原因,即使资金被转走,超级节点们也可以发挥「超级权限」:只要有 15 个超级节点同意,就可以绕过私钥对某个 EOS 账户拥有绝对的控制权。「不至于像以太坊那样分叉。」OathProtocol 全球合伙人兼 CEO 徐寅表示。

眼下,EOS 虽然安全问题频繁出现,但不会成为 EOS 发展的瓶颈。「就是攻防嘛,如果成为了瓶颈就不符合科技的发展趋势。」施华国坦言,「像 windows1995 年问世,至今也还有问题,安全是无法避免的,区块链领域的高关注度来源于只要是安全问题便和金钱有关系」。

—-

编译者/作者:区块链Truth

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...