“筹资40亿美金、21个超级节点、百万TPS(每秒交易次数)”,聪明的BM一手打造了史上最大的ICO融资项目――EOS。曾经在主网上线前风光无限,如今却沦落为一条纯粹的博彩公链,漏洞频出的合约代码招致了黑客的频繁袭扰和攻击。
曾经豪情万丈的EOS,这些天经历了什么?为何EOS生态面临的黑客攻击事件愈加猖獗?EOS上的博彩生意做得做不得?早期入局的高进(化名)以为EOS博彩游戏是一门赚钱的生意,但是现在他放弃了。他向链得得说道,这个盘子太小了,基本无利可图。
热热闹闹的参与者
2018年6月9日,EOS公链在争议声中完成主网上线。不同于以太坊每次交易都需要高额的GAS费用,用户在EOS上不需要交易费用,就可以完成转账交易。这一“噱头”促进了开发者迅速转身到EOS平台上来。
根据PeckShield态势感知平台数据分析比较发现,EOS主网上线3个月后,日活超过ETH;上线5个月后,EOS的日活接近于ETH的9倍。
在8月底,随着EOS DApp的兴起,EOS的交易额首次超过ETH,并保持着强劲的增长速度。反观ETH,在爆款“博彩”游戏Fomo3D的催化下,ETH的交易额在7月20日拉出一波最高点。随后在经历了Fomo3D带来的短暂繁荣之后,ETH无论是从活跃度还是交易额都回落至一个地位,并且在后续几个月内没有发生明显的波动。
ETH & EOS DAPP 交易额
从交易次数方面来讲,ETH的每秒交易次数(TPS) 理论峰值是25次/秒,但是在2018年1月1日~11月22日之间,ETH的TPS平均值8.15次/秒,远远低于预期。所以ETH在TPS的限制下,Fomo3D所引起的交易额的暴增,并没有同时引发交易量的变化,ETH链上的交易量一直在低位平稳运行。
EOS之所以能在主网上线前赚足噱头,离不开其大肆宣称的“百万TPS”。要知道,中心化产品支付宝的TPS也才30万左右。安全性、稳定性和可扩展性三者不可兼得,被称为区块链不可能之三角,TPS对于网络交易速度的提升,同时也部分牺牲了区块链的安全性或稳定性。
如果EOS能够实现百万TPS,足以让区块链的扩展性能适用于任何场景。但是EOS主网运行半年以来,TPS不足4000次/秒。一位从事于公链开发的技术专家向链得得表示,3000次/秒的TPS就可以满足绝大多数的业务了。EOS作为一条弱中心化的公链,以目前的DApp应用情况来看,4000次/秒的TPS并没有成为交易的瓶颈。在同期ETH低位徘徊时,EOS的交易量大幅走高。
根据PeckShield的EOS全网生态数据显示,随着大量博彩类DApp在EOS公链开发上线,EOS的DAU(日活跃用户数量)连续突破“万”字关卡,最高接近80000。得益于博彩类游戏的吸金能力,似乎把EOS盘活了。
但是,EOS平台上复制出现的竞猜、博彩类游戏同样在复制着以太坊“受害者”角色,黑客开始频繁袭扰EOS。
黑客横行的EOS
截至11月26日,EOS公链上共发生27起DApp安全事件,损失近40万EOS,价值1000万人民币。而这种安全事件有愈演愈烈之势,黑客的攻击手段也在不断演进,并且越来越复杂。
从已统计的27起DApp安全事件的类型可以看出,受攻击的合约集中在“随机数问题”、“假EOS攻击”等问题上。简单来说,“假EOS”可理解为:黑客创建了一种基于EOS的代币,并将其命名为“EOS”,开始大量给被攻击合约账号转账假EOS代币,由于合约没有检测EOS的发行方,误把“假EOS”转账视为真的,进而按照开奖流程去分配奖金。
而随机数问题是游戏开发者遇到的最大问题,目前以太坊和EOS上的随机数都不是真随机,都存在可能被预测或者利用的问题,导致出现漏洞。
EOS DApp 安全事件列表
安全公司PeckShield安全专家施华国向链得得说道,EOS生态刚起步才不到6个月,EOS系统还在逐步完善改进,系统本身也会存在漏洞,从开发者的角度看,DApp 对于所有开发者来说都是全新的,尤其是合约使用C++语言开发,上手难度更大,更容易出现各种逻辑处理不严谨的问题。
从图中可以看到Dapp攻击手段的演进过程:7月底狼人游戏遭受溢出攻击,8月份的EOSBet出现的合约RAM吞噬问题,这两者都属于系统安全问题;到9、10月份的攻击主要是以DApp开发的最基本校验问题导致的假EOS假转帐通知攻击;而到11月份频繁出现的随机数攻击问题,随机数攻击问题都属于开发逻辑问题。
EOS随着DApp的开发逐渐升温。在10月26日,BetDice和EOSTiger的DAU(日活跃用户数量)均超过3万,而当时全网的DAU也只有6万多,也就是说两个游戏DAU之和超过了全网EOS 活跃用户数总和。“两个游戏用户一定会有大量重复,而EOS区块链生态会不会也跟互联网一样存在假量数据呢?”
据PeckShield分析后发现:50万的总用户数里,只有37%的用户是真实玩家。另外有23%的群控账号(被相同人操控的子账号)和39.82%的沉默账号(从账号创建后未主动发起过任何行为的账号)。
EOS日活对比
统计时间的最后一天两个数据对比,活跃账号DAU是3万,全部账号DAU是6万6,群控账号DAU 占了全部DAU的一大半,也就是说群控账号的DAU大于真实玩家。
施华国对链得得说道:“群控账号只影响DAU,而对DApp交易额几乎没有影响,也不会影响到交易挖矿。这也说明群控账号目前的行为还是在简单的刷DAU和小额的游戏薅羊毛上。”
EOS在11月份的时候发生一起针对于游戏项目EOS WIN的攻击事件:攻击者为了完成随机数漏洞攻击,总共用6个账号部署了6个合约并行进行攻击,1分钟内获利9000EOS,这个案例也是目前为止攻击事件里攻击手段最复杂的一起攻击事件。施华国表示,未来攻击手段会越来越复杂和多样化。
无利可图的EOS
链得得注意到,EOS近两个月的平均链上流水是1亿美元,是非常巨大的。“这里面存在大量的人在刷平台币,导致EOS上的交易流水巨大。”EOS博彩玩家高进告诉链得得,EOS公链上大部分的博彩类项目都会向玩家送平台币,正因为这样一个机制,而出现了大量“薅羊毛”的玩家,国内所有EOS日活也就6000左右,加上海外玩家总共1万人,大家是一个“你割我、我割你”的状态,最后是没有赢家的。
在EOS上转账交易与运行智能合约并不需要消耗EOS代币。但是在EOS系统当中,有三大类资源被应用程序消耗:RAM(内存)、网络带宽(Network Bandwidth)、CPU带宽(CPU Bandwidth)。
简单来说,EOS类似于安卓系统,基于EOS开发智能合约就是操作系统上面的应用。而用户在创建EOS账户时就需要购买RAM、购买宽带、购买CPU这一系列复杂的程序。RAM是在区块链上存储数据的必备资源,需要支付EOS去向系统购买。存储的数据越多,需要的RAM越多。
所以,RAM是EOS的命根子。在EOS钱包注册账户、发起交易、创建智能合约、发代币、发空投都要消耗RAM。
“激活一个EOS需要NET、CPU、RAM三大资源的消耗,换句话说,开一个EOS地址的成本是50-200元人民币,玩家的准入门槛很高。”高进向链得得吐槽,EOS博彩游戏的体验巨差无比。中心化的体验永远是比去中心化的好,玩家明明可以低成本的去玩一款博彩类游戏,为什么要选择EOS。
高进曾经想过在EOS公链上做CPU和RAM的租赁生意,但是发现整个盘面也就10万个EOS,产业太小、基本不会有业务扩展的可能性。高进讲到:“在EOS上开发博彩类DApp,就好比在北京市平谷区的一个乡镇里面开超市,没有京东和淘宝的竞争,也可以通过卖方便面赚一些钱,但是这家店是没有办法扩张的。”
