当咱们还在讨论牛市熊市,能不能回不回本的问题的时候,已经有一帮“黑客”靠撸各类dapp智能合约漏洞发家。
其实大家也都知道,以太坊上曾经也出现过很多次黑客事件,有拿到fomo3d大奖的,也有利用项目方合约漏洞生成额外的token的。而如今,其中一些戏码转移到了EOS上,同时由于主网上线才三个月,各类开发也都还在摸索阶段,对于撸客来说,难度和成本都不高。
昨天,一系列在EOS dapp排名靠前的游戏合约被“黑客”攻击(因涉事游戏多为菠菜,这里就不多介绍了),具体详情可以查看一篇文章:https://bihu.com/article/1358201
只是这次的攻击方式简单到颇叫人无语,在EOS网络上是可以创建同名token的,然后有人创建了一个叫EOS的token,转到了bet合约里,游戏合约没有做验证(真EOS是由eosio.token创建),于是游戏者可以转入假币,通过游戏赢回真币。
这个叫aabbccddeefg的账号,通过这一方式,陆陆续续撸了5万EOS出来。
引得吃瓜群众纷纷表示:six six six
而这个账号的主账号guydgnjygige,更是厉害,有兴趣的可以去观摩一下,这个主账号光小号就50个。看他与其他账号的链上聊天记录,对怎么撸合约漏洞,了如指掌:
上图中向他咨询的这位仁兄zhipeng11111,曾经也撸过目前日活排名第二的eosknights的游戏中漏洞,被官方封号,看来这还不是一个人,有一帮人都在关注这一领域。
(eosknights做工较为精细,避开了这次灾难,不过今天凌晨貌似官方合约遭受了其他方式的攻击,也可能是白帽测试,目前还暂不清楚原因)
而在同一天,柚子上新晋去中心化交易平台newdex也未幸免:
究其原因,如上面我分享的币乎文中所言,这些开发团队可能都用的同一篇文章中的“问题代码”[捂脸]。
这个程序猿的锅就不要让EOS来背了,不过目前看来,此次事件对价格影响不大,当然这也是由于受损害的基本上都是开发团队,用户资产安全并未波及。
而多涉及的游戏,也算是“黑吃黑”,恐怕只能通过一些协调方式,看怎样来挽回。
而靠EOS里的仲裁,能否成功存在未知,因为从某种角度来说,“黑客”其实并未违反代码的逻辑,代码本身没校验是不是eosio.token创建的币啊,又怎么证明这是不是开发者有意为之?
很多人可能因此又对dapp的未来担忧,认为是伪需求之类,但很多时候坏事换个角度看,也是好事:
1. 做dapp目前还是很早很早的荒蛮时期,开发团队也不成熟,自然有很多坑要踩,早发现,早解决。
2. 现在有一大堆韭菜表示要多学习,要仔细研究透eos,来撸漏洞,哈哈,而这其实也会引起开发团队对代码安全的重视,加速智能合约开发的成熟。
3. 没有黑客光顾的公链,不足够有价值。
从用户角度来说,最后咱们也提醒几点:
1. 撸漏洞的正确姿势,应该是发现后告知开发团队,都是会有奖励的,想当年360不还撸了EOS团队几万美金吗,现在懂行的人少,说不定还会给你带来不少机会。
2. 想玩dapp游戏的,开个小号玩,尽量少投入,注意保护自己的资产安全。
3. 选择在排行榜上有日活量的游戏,并注意辨别网站真伪,现在已经冒出一些仿的很像的钓鱼网站,需小心。
结语
上线才三个月的网络,就已被“坏人”研究透,咱们还有什么理由不学习、不努力呢?
温馨提示:以上内容仅供参考,请勿直接作为投资依据,数字货币市场风险较大,还请谨慎参与!
如果您觉得此文对您有用,也希望能帮我们一个忙,转发给您身边的币友,我们希望能消除更多人对于数字货币的种种误解,也希望更多人能少走弯路,多多赚钱~
閱讀更多 風火輪區塊鏈 的文章
