此兩天,鬧得沸沸揚揚的EOS高危漏洞問題,引發了數字貨幣市場的全民焦慮和隱憂。
奇虎360這個傳統互聯網安全領域的巨頭,僅僅靠一次高危漏洞預警,就成了區塊鏈行業的網紅。儘管EOS創始人BM直指這是一場有預謀製造恐慌的行為,但Block.one最終還是聯合HackerOne安全平臺推出EOSIO漏洞賞金計劃,也算是間接為EOS公鏈生態建設注入了希望和活力。
然而,一波未平,一波又起,“漏洞”問題還未平息,“映射”問題又成了大家心憂的話題。
就在EOS主網上線還剩不到兩天的關鍵時刻,專注於區塊鏈領域的安全公司PeckShield再曝一劑猛料稱“在目前已經完成映射的70.02%個EOS Token中,竟有0.23%的Token映射無效”,根據當天EOS價格(12.40 USD)來計,這些Token價值約為2700萬美元,這些Token若在主網啟動前沒有進行正確重新映射的話將永久丟失,屆時直接有價值上億的資產化為空氣。
據PeckShield披露,目前存在兩類無效映射狀況:
第一類是由於Token持有者用網上公開的EOS key,(即EOS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV)做映射,該部分佔比為0.19%,由於這部分EOS地址及私鑰是公開的,地址極易被他人盜取。根據國外一家區塊生產商候選人EOS Authority團隊昨天發表的文章《我們從黑客中拯救了1000萬美元的EOS》稱,他們發現213個錢包共享相同的EOS公鑰,而且這些錢包匹配的私鑰並不是秘密的,一旦啟動EOS,資金就可以從EOS主網絡中被轉出。
另一類是用非法的key,常見的有用EOSCrowdsale和EOSTokenContract等地址作為key)做映射,該部分佔比為0.04%。截至目前共發現1243個非法的EOS key和725個受影響的錢包地址。
(由於格式錯誤而未有效映射的地址Top 10如上圖)
此前,PeckShied公司就連發預警稱,EOS主網映射存在效率低下的問題,距離主網上線前兩個月前,EOS被爆有76%未做主網映射,距離主網上線僅一週前,仍有51.7%的Token未做映射,距離主網上線前48小時內,依然有29.98%的Token未做映射。可以看出,隨著眾多交易所和錢包商相繼展開了批量映射操作,EOS的映射問題得到了很大的進展,也寧願相信在主網上線前的前一秒,這一映射比例會達到百分百。
但是,假使出現以上兩類無效映射,且沒有及時察覺,又該當如何?
眾所周知,EOS映射儘管牽扯億萬資金,但如此低效的映射效率至少反映出了一個問題:映射太過被動。
一方面,大部分人並沒有對“映射”可能產生的問題和風險有深刻認知,以為映射過了就高枕無憂了,完全忽略了可能出現差錯的問題。大部分選用個人手動映射的人可能會遇到這種情況,信心滿滿以為映射“成功”了,就不再關注映射問題了,卻不曾預防還有映射失敗,重新再來的可能。因此友情提示,在完成映射操作後,切記要記得藉助第三方工具檢測是映射是否真的成功了。
另一方面,由於個人手動映射的安全風險太大,大部分人還是會選擇交易所和錢包商批量映射,這樣“智能化”的映射過程,大部分人都是“寧可信其行”的心態,忽略了其中可能產生的差錯和風險預警,比如,一旦主網上線後還是沒映射成功怎麼辦,又或者即便最後一秒都映射掉了,出現這種無效映射的情況該怎麼辦?最糟糕的是,怕是發現了也沒時間補救了。因此,強烈呼籲,最後29.98%Token的持幣平臺儘快映射,要留足補救差錯的時間,切莫再拖延時間了。
如果沒能重新映射的話,後果會有多嚴重呢?根據以下錯誤地址餘額表顯示,我們可以看到,第一持幣大戶掌握著大約1896292個EOS,價值超過2000萬美元。這個損失無論對個人還是交易所都是毀滅性的打擊,倘若不及時映射,後果之嚴重可想而知。
寫在最後:
在最後映射期的危情48小時內,關於EOS映射,又會有怎樣的問題和曝光出來呢?各位EOS的持幣者,要及時關注區塊鏈安全公司預警及媒體報道,謹防自己的資產敗光在認知不足下。都說幣圈莊家黑心難防,一不小心就成了韭菜,現在來看,認知gap也是一個較大的被割韭菜可能。
透過這一系列漏洞預警事件,讓一直處於幕後的區塊鏈安全公司,也成了舞臺上的主角。在頂層監管政策舉旗不定的大背景下,這個已傾注數千億美元資金的數字貨幣市場,成了一批冒險者拼死掘金的沙場。他們究竟是賭徒還是信徒,沒有人說得清楚,但可以肯定的是,他們太需要一些身披”護航衛士“光環的區塊鏈安全技術服務公司來餵食安神湯。
閱讀更多 鏈得得APP 的文章
