|作者:区块律动BlockBeats0x30
|欢迎添加作者微信qkldlinda与他进行交流!未经授权禁止转载!
本期波场生态有两个DAPP被黑客攻击受到广泛关注。
4月10日晚上,黑客向波场竞猜类游戏TronWow发起随机数破解攻击,共计获利216万个TRX。4月11日凌晨,黑客向波场资金盘游戏TronBank发起假币攻击,1小时内被盗走约1.7亿枚BTT。
一位资深开发者告诉区块律动BlockBeats,EOS主网上线以来生态内一些事件,比如DAPP的崛起、资金盘喊单、挖矿搬砖盛行、羊毛党薅羊毛,甚至连黑客攻击,都在波场上复现了。就拿近期的TRON生态事件来说,连DAPP出现的bug类型也是一致的。
关于最近TRON生态接连面临假币攻击、随机数破解等EOS早期频繁出现的问题,安全团队PeckShield创始人蒋旭宪告诉区块律动BlockBeats,此前TRON生态还发生过代币无限增发问题,今后不排除其他相关攻击方式(比如合约溢出、交易阻塞等)在TRON生态陆续出现的可能。
动态 | Coinbase CEO对App Store打击DApp使用的举动表示担忧:Coinbase首席执行官Brian Armstrong最近在回应Reddit帖子时对苹果的举动表示担忧。“看到这一点实在令人遗憾。苹果似乎正在从应用商店中取消DApp的使用。如果苹果客户想要使用DApp,我们可能需要以某种方式让苹果知道这一要求。这是金融创新的一个重要领域,这项技术的许多开发者和早期采用者在这些金融应用程序中捆绑了价值数百万美元的加密货币,如果应用商店政策继续下去,他们将无法再在苹果移动设备上使用这些加密货币。”据悉,Coinbase和Apple均未发布有关最近政策执行的正式声明。(Sludgefeed)[2019/12/30]
以太坊、EOS的安全漏洞很可能在波场重现
蒋旭宪表示,由于波场在实现上结合了以太坊和EOS的设计,在智能合约上同样使用了Solidity编程语言,原先以太坊上出现的合约缺陷同样有可能在波场复演。
分析 | DOS去中心化预言机应用广泛 受制于DApp生态发展:区块链投研机构 TokenGazer 发布了 DOS Network深度研究报告:在区块链领域,尤其是在DApp的开发及应用环节离不开预言机尤其是高效可靠的去中心化预言机,在这点上DOS?Network项目致力于解决当前行业痛点,项目方向是正确的,去中心化预言机同样属于区块链行业内的基础设施项目,但目前DApp多以为主,真正的落地产品及用户数量并不多,以当前DApp开发的规模来看,早期的市场体量能否支撑起项目运行犹未可知。[2019/3/20]
也就是说,在漏洞层面,2018年PeckShield发现的BEC和SMT的安全漏洞batchOverflow完全可能在波场会重现,差别可能就是合约代币本身的价值不同。
另外,波场也参考了EOS的共识机制和支持竞猜类DApp,2018年PeckShield报道过的多个竞猜类DAPP上的安全问题,蒋旭宪也认为有很大机率重演。这次BTTBank和TronWow的攻击很可能只是个开始。
行情 | 过去24小时EOS Dapp活跃用户66620:据DappReview数据,今日dapp新增6个,过去24小时EOS Dapp活跃用户66620,交易额951万EOS/1.57亿元;Tron Dapp活跃用户33995,交易额6.2亿TRX/1.14亿元;ETH Dapp活跃用户13149,交易额1.6万ETH/1275万元;Steem Dapp活跃用户9798,交易额18万Steem/51万元
过去24小时交易额排名前三名分别如下:
1.EOS:BetDice(抽奖,用户1573,成交量270万EOS/4474万元);Poker EOS(抽奖,用户932,成交量244万EOS/4053万元);EOSHASH(抽奖,用户量2479,成交量92万EOS/1538万元)
2.Tron:TronBet(抽奖,用户3062,成交量4.1亿TRX/7555万元));DICE 3D(抽奖,用户760,成交量0.67亿TRX/1210万元);ALLBET(抽奖,用户3025,成交量0.57亿TRX/1038万元
3.ETH:FCK(抽奖,用户数443,成交量4565ETH/364万元);质押借Dai(市场,用户693,成交量2884ETH/230万元);IDEX(市场,用户数653,成交量1853ETH/147万元)
4.Steem:Magic Dice(抽奖,用户269,成交量17万Steem/49万元));Smartsteem(其他,用户63,成交量4609Steem/1.2万元);Steem Monsters(游戏,用户1733,成交量4098Steem/1.1万元)[2019/1/24]
PeckShield整理了关于EOSDAPP攻击手段的演进时间线图表。在上图中,红色方块内的攻击方式都是有可能将在波场上复现,红色方块外的攻击方式是EOS公链特有的,在波场上复现的可能性不大。
动态 | 9月游戏类以太坊DApp新上77死亡163:据链塔智库,以太坊协议升级将对矿工和ETH持有者带来持续影响,传统矿工在不远的将来可能面临失业问题,手里的算力也不再有用武之地。发行量减少意味着挖矿难度的提升,挖矿成本的上升,矿工的利润将进一步压缩。以太坊游戏市场依然火爆,但在入场数量庞大的同时也有大量游戏退出以太坊平台,用户流失严重。游戏市场高进场率与高退出率并存,竞争态势激烈。[2018/10/8]
蒋旭宪此前曾分析,波场公链的DAPP市场高度繁荣但一直未曾遭到过EOS公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。
除了上述提到的,由于波场在实现上结合了以太坊和EOS的设计,各自出现的安全问题都有可能在波场上以某种方式出现。特别是波场合约部署后不可更改,再加上类似EOS的共识机制,会直接影响未来可能的攻击方式,包括攻击合约的部署,以及可能的交易回滚或阻塞。
但考虑到每一条公链都有其特殊性,公链能够上线并稳定运行也是有其必然性,黑客攻击的角度也是可能从多方面进行,包括但不限于公链上的创新设计,底层架构,P2P协议层等。
开发者的错并不代表波场协议完全安全可靠
关于最近的波场DAPP安全问题,主要是开发者的问题。波场官方也表示,该合约安全问题出现在波场DAPP上,与协议本身没有任何关系,波场协议完全安全可靠。
蒋旭宪认为,最近的这几次攻击的确是开发者的问题,但也不能因此说明波场协议完全安全可靠,更大可能反而是新的共链层面的安全问题还有待曝出。在众多的DAPP安全事件里面,公链团队可以做的也是多及时关注已知的DAPP安全问题,并同时积极思考公链层面可以增强和改善的环节。
也有开发者认为,由于公链都是开源社区,开发者水平参差不齐,DAPP质量也参差不齐,EOS开发者犯的漏洞错误,波场开发者一样会犯。而且不少DAPP是没有准入审查的,门槛非常的低,不排除有DAPP在开发之初就有恶意埋雷。
蒋旭宪提醒,对于用户来说,应该尽量参与那些靠谱的DAPP应用。在安全研究人员的眼里,很可能是所有DAPP都有或多或少安全方面的问题或隐患。所以用户最好是多了解DAPP本身是否有考虑相应的安全模块和响应机制,DAPP合约是否有第三方的独立审计,同时注意关注DAPP对应的社区或IM沟通群,及时获取相应资讯和安全动态。在有安全事情发生的时候,可以及时止损。
EOS排行榜
本期EOS榜单前3名分别为Hashbaby、LoreFree、ENBank。EOS上周活跃用户为106,888。
TRON排行榜
本期TRON榜单前3名分别为Gakex、TronWoW、Bankroll。TRON上周活跃用户为33,145。
ETH排行榜
本期ETH榜单前3名为MyCryptoHeroes、IDEX和CDPPortal。ETH上周活跃用户为12,154。
IOST排行榜
本期IOST榜单前3名为MyCryptoHeroes、IOSTJoy和IOSTROI。IOST主网上线后仅一个月,DAPP生态就已经十分繁荣,4月初IOST每日处理交易数量已经超过以太坊。
此外IOST在Layer2也有新进展,4月11日,IOST表示将接入隐私计算团队ARPA的Layer2方案,为IOST公链提供隐私保护和安全计算的功能。ARPA通过安全多方计算(MPC)技术,为IOSTC端和B端用户提供基于加密运算和区块链的隐私数据安全流转解决方案,促进IOST公链生态建设。
未来在IOST上的开发者将能够调用ARPA安全计算网络进行能够保证用户隐私的DAPP开发。短期内的ARPA的切入点为企业级隐私数据共享,例如金融领域的多方联合征信、联合KYC,保险领域的多源数据联合风控、敏感信息查询,大数据营销领域的联合用户画像等。该项目长期会在B端金融、营销、医疗等领域共同进行商业拓展,以及C端的个人数据安全管理与变现、钱包分布式KMS等领域的探索。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。