Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

EOS DApp的“多事之秋”:黑客提款机 羊毛党的温床

0
0

九个亿财经消息――电影《七宗罪》用七桩匪夷所思的案件揭示了天主教教义所指的人性七宗罪,若罪行按照严重程度分别是:傲慢、嫉妒、愤怒、懒惰、贪婪、淫欲和暴食。与此同时,Linkedin创始人,硅谷殿堂级人物Reid Hoffman 也告诉我们,“一款好的社交产品,一定是能迎合人性七宗罪的其中之一。”

实际上,社交产品如是,所有的互联网产品如是,区块链产品亦如是。

据SpiderStore网站数据显示,在其目前收录的1136个以太坊DApp中,博彩类DApp数量共计451,占比近40%;而在其追踪到的169个EOS DApp中,博彩类DApp更是以总量95傲视群雄,占据了大半江山。

日进万金的博彩类DApp在为EOS生态带来极大人气和流量的同时,也难以避免地,埋下了极高的风险和隐患。如今的EOS王国,黑客攻击已成家常便饭,日活数量涉嫌造假,羊毛党薅羊毛乐此不疲,矿工大户左右游戏……

01 黑客提款机

此前,网络安全公司CiferTrace发布的一份报告显示,今年前9个月,通过黑客入侵交易所和交易平台窃取的数字货币飙升至9.27亿美元,比2017年的水平增长了近250%。

而随着博彩类DApp的爆发和流水的水涨船高,这一未经挖掘的沃土俨然已经成为了黑客的新玩具。

经过整理发现,目前被黑客攻击的DApp大多以博彩游戏为主,集中围绕EOS.WIN、EOSBet、EOSDice等几个头部项目,攻击手法也无外乎是利用智能合约漏洞,使用可控的随机数种子等。

频发的安全事件,一次又一次使得EOS区块链成为众矢之的,在引发舆论危机的同时,也不得不让我们重新审视它的发展现状。

首先,对比以太坊DApp在同时段发生的攻击次数,我们发现EOS DApp遭受的攻击概率要高于以太坊DApp。

当然,这基本得益于以太坊的先发制人。在经历5年的打磨和积累后,以太坊已经拥有近30万开发者,并且已经建立起了一个较为完善和健全的开发者生态,在这种环境下,它的开发模式日趋成熟,安全性也较高,因此出现漏洞的概率更低。反观EOS,尽管它的发展速度突飞猛进,在技术和治理架构上均有所创新,但是它的开发者生态尚不健全,缺乏行之有效的工具、标准库,为数不多的开发者也各自为营,这些问题的存在都在一定程度上掣肘了EOS的发展。

其次,都说“在哪里跌倒就在哪里爬起来”,但倘若开发者总是在同一个地方跌倒,并且毫无技术含量,就显得甚是滑稽。

近日来,包括EOSDice、FFgame和EOS.WIN等数款博彩游戏均是由于“随机数漏洞”遭受攻击。根据慢雾安全团队的持续追踪,他们发现攻击上述三个DApp的攻击者疑似是同一个攻击者,并且使用了类似的攻击手法。更严重的是,此前由于随机数漏洞的问题,慢雾已经多次预警过该攻击手法,请求DApp开发者仔细核对自己的随机数种子和算法是否可以被预测。遗憾的是,这些警告并没有引起开发者们足够的重视。

不可否认,找到一个不易被控制的随机数种子,是目前博彩类DApp开发者面临的一个共同难题。但是,开发者们始终缺乏有效的风控措施,也无法做到及时更新,规避市面上出现的同类错误,这就使人不得不对他们在短时间日匆忙推广宣传项目的动机产生怀疑,更何况,一旦真的出现问题,用户对此类DApp信任的流失足以随时终结它的生命。

此外,在发生攻击事件之后,如何找回丢失的EOS才是项目方最为关心的问题,而这又再次牵扯出EOS核心仲裁法庭(ECAF)的争议来。

打个不成熟的比方,如果将EOS看成是一场马拉松,那么“EOS宪法”就是它的比赛规则,“BP”是不同的站点,那么担任整场比赛的裁判员就非ECAF莫属了。简单来说,仲裁员通常通过社区全民公投来获得任命,并依据EOS章程,帮助纠纷双方达成协议,解决争端。

遭受攻击的项目方在哀嚎损失惨重的同时,一方面需要有所行动安抚用户,一方面受技术限制也只能寄希望于ECAF,请求他们对这些非法转账进行裁决。但截至目前,并没有一笔损失得到追讨, ECAF能做的只是对非法账号进行冻结,所有BP不再执行与该账号相关的任何操作。

然而,更大的问题也随之而来:ECAF是否能够介入诸如黑客攻击此类事件中?它的存在是否与区块链的“去中心化”精神相违背?这些都是我们需要进一步思考的问题。

02 羊毛党的温床

链鱼鱼在多次比对以太坊和EOS区块链上DApp日活和交易量时,总是惊讶于两者之间的差异,而这种差别在博彩类DApp上尤为明显。

一般来说,以太坊上排名靠前的博彩类DApp的日活在一千左右,EOS上的则大多为几千,甚至极少数DApp的日活峰值能够达到4、5万。就拿曾经一度占据EOS日活排行榜第一的博彩游戏BetDice为例,其日活最高可以达到4.3万,日成交量达到1095万EOS,折合人民币近4亿(以EOS当前价格37元计价)。

高日活和高流水的诱惑,让不少开发者做出了抛弃以太坊,转投EOS阵营的选择,然而事实真的如此吗?

PeckShield 安全团队在对 BetDice 的智能合约数据以及参与合约的用户数据进行分析后发现:参与 BetDice DAPP 的玩家中,其账号的创建者过于集中,有约 20000 个 EOS 账号由 10 个 EOS 账号创建(已去除 EOSIO 创世账号等账号生成工具),这 10 个账号创建的 20000 个二级账号,占了该游戏总智能合约交易账户数量的 57%;如果将创建账号的范围扩大到任何二级账号数量超过 10 个的账号创建者,则会有 26098 个账号属于这个类型,占该游戏智能合约交易账户数量的 74.5%。

而据 PeckShield 的技术人员所说 ,这些账号参与最多的是 BetDice 的每日抽奖活动。

这也就意味着,表面上一派繁荣的EOS 博彩类DApp实际上根本没有多少真实用户,其真实日活可能只有几千,甚至更少。大量的羊毛党和机器人在项目方早期实行高返奖率、大量空投和幸运抽奖时一哄而上,等到挖矿成本上涨无利可图时再一哄而散,往往便会造成博彩类DApp的日活呈断崖式下跌。同时,这种注水日活营造的虚假繁荣表象,不仅无法加强DApp用户粘性,也不利于EOS生态的健康发展。

03 结语

频发的安全事件、大量羊毛党的滋生以及矿工大户举足轻重的影响力都是现阶段EOS社区必须面对和解决的问题。业内在给予EOS高期望的同时,自然也会以更严苛的标准来审视它。

当然,任何新生事物在初期总是会或多或少存在一些问题,这一点无可厚非。但是,我们在允许它出现漏洞的同时也必须清楚,产品的诞生和发展不是用来发现问题和解决问题的,许多问题造成的后果难以挽回。

EOS区块链的高性能和可拓展性是它的利器,势必也会吸引越来越多开发者的加入,从而不断完善和繁荣整个EOS生态。只是,在这个可能有些许漫长的过程中,我们希望它能少走一些弯路。

来源: 链鱼鱼


Viewing all articles
Browse latest Browse all 12749