|作者:区块律动BlockBeats0x30
|欢迎添加作者微信qkldlinda与他进行交流!未经授权禁止转载!
本期波场生态有两个DAPP被黑客攻击受到广泛关注。
4月10日晚上,黑客向波场竞猜类游戏TronWow发起随机数破解攻击,共计获利216万个TRX。4月11日凌晨,黑客向波场资金盘游戏TronBank发起假币攻击,1小时内被盗走约1.7亿枚BTT。
一位资深开发者告诉区块律动BlockBeats,EOS主网上线以来生态内一些事件,比如DAPP的崛起、资金盘喊单、挖矿搬砖盛行、羊毛党薅羊毛,甚至连黑客攻击,都在波场上复现了。就拿近期的TRON生态事件来说,连DAPP出现的bug类型也是一致的。
关于最近TRON生态接连面临假币攻击、随机数破解等EOS早期频繁出现的问题,安全团队PeckShield创始人蒋旭宪告诉区块律动BlockBeats,此前TRON生态还发生过代币无限增发问题,今后不排除其他相关攻击方式(比如合约溢出、交易阻塞等)在TRON生态陆续出现的可能。
以太坊、EOS的安全漏洞很可能在波场重现
蒋旭宪表示,由于波场在实现上结合了以太坊和EOS的设计,在智能合约上同样使用了Solidity编程语言,原先以太坊上出现的合约缺陷同样有可能在波场复演。
也就是说,在漏洞层面,2018年PeckShield发现的BEC和SMT的安全漏洞batchOverflow完全可能在波场会重现,差别可能就是合约代币本身的价值不同。
另外,波场也参考了EOS的共识机制和支持竞猜类DApp,2018年PeckShield报道过的多个竞猜类DAPP上的安全问题,蒋旭宪也认为有很大机率重演。这次BTTBank和TronWow的攻击很可能只是个开始。
PeckShield整理了关于EOSDAPP攻击手段的演进时间线图表。在上图中,红色方块内的攻击方式都是有可能将在波场上复现,红色方块外的攻击方式是EOS公链特有的,在波场上复现的可能性不大。
蒋旭宪此前曾分析,波场公链的DAPP市场高度繁荣但一直未曾遭到过EOS公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。
除了上述提到的,由于波场在实现上结合了以太坊和EOS的设计,各自出现的安全问题都有可能在波场上以某种方式出现。特别是波场合约部署后不可更改,再加上类似EOS的共识机制,会直接影响未来可能的攻击方式,包括攻击合约的部署,以及可能的交易回滚或阻塞。
但考虑到每一条公链都有其特殊性,公链能够上线并稳定运行也是有其必然性,黑客攻击的角度也是可能从多方面进行,包括但不限于公链上的创新设计,底层架构,P2P协议层等。
开发者的错并不代表波场协议完全安全可靠
关于最近的波场DAPP安全问题,主要是开发者的问题。波场官方也表示,该合约安全问题出现在波场DAPP上,与协议本身没有任何关系,波场协议完全安全可靠。
蒋旭宪认为,最近的这几次攻击的确是开发者的问题,但也不能因此说明波场协议完全安全可靠,更大可能反而是新的共链层面的安全问题还有待曝出。在众多的DAPP安全事件里面,公链团队可以做的也是多及时关注已知的DAPP安全问题,并同时积极思考公链层面可以增强和改善的环节。
也有开发者认为,由于公链都是开源社区,开发者水平参差不齐,DAPP质量也参差不齐,EOS开发者犯的漏洞错误,波场开发者一样会犯。而且不少DAPP是没有准入审查的,门槛非常的低,不排除有DAPP在开发之初就有恶意埋雷。
蒋旭宪提醒,对于用户来说,应该尽量参与那些靠谱的DAPP应用。在安全研究人员的眼里,很可能是所有DAPP都有或多或少安全方面的问题或隐患。所以用户最好是多了解DAPP本身是否有考虑相应的安全模块和响应机制,DAPP合约是否有第三方的独立审计,同时注意关注DAPP对应的社区或IM沟通群,及时获取相应资讯和安全动态。在有安全事情发生的时候,可以及时止损。
EOS排行榜
本期EOS榜单前3名分别为Hashbaby、LoreFree、ENBank。EOS上周活跃用户为106,888。
TRON排行榜
本期TRON榜单前3名分别为Gakex、TronWoW、Bankroll。TRON上周活跃用户为33,145。
ETH排行榜
本期ETH榜单前3名为MyCryptoHeroes、IDEX和CDPPortal。ETH上周活跃用户为12,154。
IOST排行榜
本期IOST榜单前3名为MyCryptoHeroes、IOSTJoy和IOSTROI。IOST主网上线后仅一个月,DAPP生态就已经十分繁荣,4月初IOST每日处理交易数量已经超过以太坊。
此外IOST在Layer2也有新进展,4月11日,IOST表示将接入隐私计算团队ARPA的Layer2方案,为IOST公链提供隐私保护和安全计算的功能。ARPA通过安全多方计算(MPC)技术,为IOSTC端和B端用户提供基于加密运算和区块链的隐私数据安全流转解决方案,促进IOST公链生态建设。
未来在IOST上的开发者将能够调用ARPA安全计算网络进行能够保证用户隐私的DAPP开发。短期内的ARPA的切入点为企业级隐私数据共享,例如金融领域的多方联合征信、联合KYC,保险领域的多源数据联合风控、敏感信息查询,大数据营销领域的联合用户画像等。该项目长期会在B端金融、营销、医疗等领域共同进行商业拓展,以及C端的个人数据安全管理与变现、钱包分布式KMS等领域的探索。
十年前的今天,也就是2008年11月1日,有人用中本聪(SatoshiNakamoto)的名字向加密邮件列表发送了一篇学术论文,提出了一种名为“比特币”(bitcoin)的数字货币概念.
亲爱的用户: CAS交易排名大赛已经结束,本次交易排名赛获得CAS官方的大力支持,ZG.TOP感谢CAS社区和广大用户的积极参与.
尊敬的LBank用户 经过严格的筛选,我们最终确定,代号为「Earth」的LBankSolar项目为: DXN(DEXON) 我们将于如下日期启动Solar「Earth」DEXON的售卖活动:开.
狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸!本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议.
未来共识和通证经济将会擦出什么样的火花?区块链去中心化、不可篡改、可溯源的特性,让它能够以超成本构建更加可信化的社会,被认为是继蒸汽机、电力、互联网之后下一代颠覆性技术的核心.
亲爱的Bit-Z用户: ADAB项目方由于近期市场战略计划在重新调整与规划,提出日期更新申请,要求更新原计划4月22日在Bit-M平台上线的认购活动,定于为4月26日开始上线.