Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

黑客肆虐、菠菜控场 DApp为何沦为一小撮人的狂欢?

$
0
0

来源/31QU

文/林君

熊市来临后,DApp一度被认为接过了公链的棒,成为解开区块链迷局的关键。

是不是区块链的良药还无法确定,但现在,DApp正深陷黑客攻击、安全的困扰。

自主网上线以来,大型的漏洞攻击就在逐个上演,有数据统计,一系列攻击事件导致项目方累计损失达数十万 EOS,价值超百万元。

“DApp已成黑客提款机”,有人如此评价。

曾经号称安全、可靠的区块链系统,反而成了黑客肆虐的场所,不计其数的Token流入黑客钱包,成为黑客的囊中之物。

除了黑客攻击,DApp的发展还遇到其他的问题,比如类型单一,用户稀缺。这些挑战,DApp开发团队应该如何应对?

1、DApp迎井喷式爆发

11月份以来,加密货币持续走熊。据CoinMarketCap数据显示,目前加密货币总市值约1300亿美元,较2017年12月17日最高市值8100亿美元,足足跌去了将近84%,众多加密货币与最高点相比,纷纷遭遇腰斩、甚至归零。

加密货币的寒冬与DApp的火热形成鲜明对比。

“之前的社群不是沦为广告群,就是没人说话,死掉了,但是我目前加的微信群中,最活跃的要数DApp交流群。”

区块链从业者冉华介绍说,由于工作关系,他基本上都会加入行业的各种微信群,随着加密货币行情骤冷,之前热火朝天讨论币价、热点的现象已经销声匿迹,目前还能保持每天近千条讨论的群组,只剩下DApp。

在经历公链、交易所、稳定币热潮后,基于公链开发的DApp开始后来居上。

据统计网站DappReview的数据,截止12月3日,基于以太坊开发的DApp共计1347个,单个DApp24小时最高活跃用户为751。


黑客肆虐、菠菜控场 DApp为何沦为一小撮人的狂欢?

而今年6月底刚刚上线主网的EOS,DApp数量则呈现迅猛增长的态势,目前链上DApp项目超250个;另据IMEOS统计,目前EOS上排名前6的菠菜类DApp,周流水额均超过百万EOS。

一场EOS线下活动会上,EOS节点EOSbeijing创始人玉石曾热情洋溢地表示,目前EOS生态已经开始进入快车道,“从菜园到森林,是未来EOS将实现的目标。”

一切都是欣欣向荣的景象。

不过,生机盎然的另一边是岌岌可危的安全问题。

9月10日,黑客破解DEOSGames 游戏,短时间内,黑客利用随机数漏洞,赢走4000个EOS。9月12日,黑客发起攻击,导致一账户损失5000 个EOS。同一天,Fair Dice 被同一个种攻击手法攻破,损失 4000 EOS。9月14日,黑客在EOSBet 上,利用假币投注赢取真币,并将这部分假币转至交易所,最终挂单交易成功。

“EOS主网启动以来,平均每周被披露的至少1.5起DApp项目被黑事件……”慢雾科技创始人曾在朋友圈点评EOS当前的安全。

2、区块链安全:一牌两面

区块链信仰“Code is Law”,认为代码即法律,分布式技术可确保链上数据不可篡改,最大程度保证系统安全,尤其是区块链游戏,将资产上链,能在最大程度上保证用户资产。

但现在,基于此技术开发的DApp正深受安全问题困扰。

从今年7月25日到11月初,IMEOS共监测到18起EOS安全事件,每一起事件均导致EOS资产损失,有的损失达数万枚EOS。

“因为安全问题凉凉的DApp,我见过不少。”资深玩家墨客告诉31QU。

“据我了解,DApp的安全问题主要有以下几方面,一是游戏的逻辑设计问题,本身出现Bug;二是DApp遭遇黑客攻击,资产被盗走;最后一类是菠菜类游戏随机算法被攻破,黑客盗走大量资产。”墨客分析说,安全问题很致命,一但资产账户被攻破,黑客将资产转移,这个游戏“基本上就废了”。


黑客肆虐、菠菜控场 DApp为何沦为一小撮人的狂欢?

“对于玩家来说,遇见这样的情况,也只能自认倒霉了。”墨客告诉31QU,虽然安全问题频出,但玩家也没有什么好的应对之策,“这种算是阶段性问题,只能靠时间去解决。”

玉石分析称,如果EOS上的DApp黑客攻击被及时发现,玩家还是可以通过EOS核心仲裁论坛裁决、回滚找回丢失的资产。

3、DApp安全攻防

DApp安全事件频出,成为区块链被诟病的原因之一。

“我不担心DApp目前存在的安全问题,因为这样的问题并不是区块链独有的,只不过区块链产品的金融属性强,与资金绑定紧密,一旦发生安全事件,直接涉及到玩家的切身利益。”慢雾联合创始人余弦告诉31QU,安全问题并非没有破解之道。

“区块链还处在非常早期的阶段,还没有统一的DApp开发标准情况下,问题出现、解决、迭代是必经的阶段。”余弦表示,在这样的情况下,DApp团队一定要在项目启动前,就做好安全架构规划,对于同类项目已经出现过的漏洞,要参考,避免“再入坑”。

“同类DApp被攻击后,要及时确认自己的合约是否也存在类似漏洞。”给出如此建议的原因是,在短时间内,EOS上曾出现了多起采用同种手法、攻击不同DApp的安全事件。

9月14日,代码未开源的掷骰子游戏EOSBet被攻击,黑客通过创建名字为EOS的“假币”,套取了项目账号中真的EOS;随后,相同手法又被用在了 EOS.win上;就连去中心化交易所Newdex也难逃“假币攻击”,用户损失了近万枚EOS。


黑客肆虐、菠菜控场 DApp为何沦为一小撮人的狂欢?

另外,黑客通过找到竞猜游戏中“随机数”规律,顺走大额奖金的案例也屡见不鲜。因此,有人评论称,DApp漏洞频发,俨然已成黑客的提款机。

“互联网产品在安全方面的支出占比大概在10%~15%,但对于区块链产品来说,我们认为这个数据至少要上调5个百分点,达到15%~20%。”余弦认为,由于DApp的特殊属性,要求团队必须拨出足够精力,来思考安全问题。

4、深陷困难境地

除了安全,DApp还面临众多问题。

首先是高企的门槛,加上玩法并不高级的游戏,让DApp沦为菠菜类游戏的天堂。

“要想玩DApp,你至少得知道加密货币吧,然后你得有EOS账号吧,还得了解CPU、RAM、Scatter吧。”墨客分析说,这样的高门槛挡住了普通玩家,即便了解这些问题的圈内人士,也会有一大部分会对目前市面上设计粗糙、逻辑简单的游戏提不起兴趣。

“风险偏好高的玩家希望收益快,而能满足这两个条件的只能是菠菜类游戏。”墨客认为短时间内,DApp还是逃不开菠菜类游戏肆虐的魔咒。

有媒体统计,截止12月1日,在EOS活跃前10DApp中,菠菜/资金盘类游戏占了7席;波场更甚,前10DApp中,菠菜/资金盘游戏占了8席。

“现在的DApp游戏,完全是存量用户在玩的零和游戏。”余弦对当前的DApp生态做出如此评价。

12月1日,安全团队PeckShield 发布了一份报告,报告显示,截止11月19日,EOS主网一共有506310个EOS账号,其中沉默账号达39%,群控账号占23%,活跃的账号仅占37%。

也就是说,号称50万用户的EOS,真正活跃人数不超过20万。

“有时候新游戏上线,在新组建的玩家群里,大家发现进来的都是熟人。”墨客调侃地说,这样的现象见怪不怪。“可能500个人分散在不同的群,话题从这个群聊完,再到另一个群接着聊,完全不违和。有人评论说‘DApp只是一小撮人的狂欢’,有时候确实会有这样的感觉。”

新用户太少,日活几百,菠菜类游戏占主导地位,DApp面临的众多问题亟待解决。

结语

以太坊的吞吐量限制了DApp用户数量和增长速度,EOS、波场等公链出现后,极大改善了DApp低延迟、实时互动问题,低廉、甚至免费的交易让用户多频操作成为可能,DApp似乎正朝着肆意生长的方向发展。

但黑客攻击等安全事件,犹如拦路虎,横亘在DApp发展面前,成了目前不得不解决的问题。

每次安全事件发生,区块链DApp是否可靠的观点就会被重提。

“DApp本身不安全,用户自然而然就缺乏安全感。”余弦认为,开发团队自然要重视安全,除此之外,还应该关注公链的可持续发展问题,包括技术迭代、如何保持生态良性发展等。

“也许DApp不会很快迎来大规模爆发,但可以确定的是,它不会很快死,像加密猫、Fomo3D的爆款肯定还会出现。”

墨客告诉31QU,虽然目前菠菜类游戏占多数,但好玩的DApp还在后头呢。


Viewing all articles
Browse latest Browse all 12749

Trending Articles