文/昊華、小C
編輯/鄧龍
在英劇《神秘博士》中,主人公的時間機(jī)器Tardis是一個電話亭。雖然從外面看著很小,但里面的空間巨大無比。
如果Tardis放在互聯(lián)網(wǎng)世界中,它便是手機(jī)中一個小小的APP Store。
據(jù)工信部發(fā)布的數(shù)據(jù),截至今年5月底,我國一共有415萬款移動應(yīng)用。
聊天、煲劇、點外賣、訂票……現(xiàn)在的年輕人已越發(fā)離不開一個個APP。相似的場景,在不久后,也將發(fā)生在區(qū)塊鏈上。
在區(qū)塊鏈上的APP,被稱作DApp,即去中心化的APP。DApp基于智能合約,雙方將約定的內(nèi)容寫進(jìn)程序中,從而無法被篡改。
目前,基于公鏈開發(fā)的DApp數(shù)量保持高速增長。根據(jù)DApp.com數(shù)據(jù)顯示,今年前三季,以太坊上已有超過 900 個DApp,而在去年第二季度末,DApp的數(shù)量只有7個。
此外,如今市場上60%的DApp都是游戲,在今年第三季度EOS上推出的60中新DApp中,超過一半是投注、博彩類應(yīng)用。
在高速增長背后,DApp的安全問題不容忽視。一個小小的漏洞,會造成巨大損失。
今年10月底,基于EOS主網(wǎng)開發(fā)的DApp EOS Cast游戲遭遇黑客攻擊,團(tuán)隊賬戶共損失了超過7萬枚EOS。據(jù)EOS當(dāng)前價格估算,本次攻擊中,EOS Cast平臺損失超255萬元人民幣。
由于區(qū)塊鏈上的數(shù)字資產(chǎn)采用的是匿名交易的原則,數(shù)字資產(chǎn)丟失后,幾乎無法找回。一旦發(fā)生黑客攻擊事件,運營團(tuán)隊和用戶只能自認(rèn)倒霉。
據(jù)PeckShield的最新數(shù)據(jù),截至2018年12月12日,共發(fā)生35起DApp安全事件,共損失超過41萬個EOS,市值近1000萬元人民幣。
據(jù)鋅財經(jīng)了解,目前DApp的安全問題主要在以下三個方面:
一是游戲的邏輯設(shè)計問題,本身出現(xiàn)Bug;二是DApp遭遇黑客攻擊,資產(chǎn)被盜走;三是菠菜(博彩)類游戲隨機(jī)算法被攻破。
DApp被黑客攻擊事件頻發(fā),安全問題就成為DApp發(fā)展過程中繞不過的坎。
如何解決這些難題?如何在設(shè)計DApp時就防范有可能產(chǎn)生的安全問題?當(dāng)DApp大規(guī)模爆發(fā)時,又會給公鏈帶來怎樣的壓力和挑戰(zhàn)?
12月20日,鋅財經(jīng)舉辦了本月第三場區(qū)塊鏈主題分享活動,鋅財經(jīng)創(chuàng)始人潘越飛邀請了PeckShield EOS安全負(fù)責(zé)人施華國對上述問題做出解答。
施華國原是網(wǎng)秦安全響應(yīng)負(fù)責(zé)人、360高級安全研究員、阿里巴巴高級安全專家,有10年移動互聯(lián)網(wǎng)安全經(jīng)驗,主要專注于軟件攻防和數(shù)據(jù)安全方向。
ZN
為什么說DApp 已到大爆發(fā)時期?
施華國
目前三大主流DApp公鏈有 ETH、EOS和TRON。先看以下三個公鏈的特點比較。
左邊的 ETH 屬于 DApp 的第一代公鏈,從2015年7月30日上線,雖然已運行三年多,但由于高額GAS費用和每秒不到10個的交易速度,極大制約了它的發(fā)展。目前ETH上的DApp總數(shù)只有1705個,由于性能限制,在ETH上很難有高頻操作的游戲?,F(xiàn)在用戶活躍較高的DApp主要是去中心化交易所和低頻交易的游戲。
而隨著EOS在2018年6月9日上線,經(jīng)過了3個多月的穩(wěn)定過度期,在10月初EOS開始出現(xiàn)大規(guī)模爆發(fā),現(xiàn)在EOS上DApp 數(shù)量已經(jīng)達(dá)到238個。
下面這張圖是三網(wǎng)的DApp日活躍度數(shù)據(jù)對比。
從圖中可以看到,EOS在10月初出現(xiàn)DAU(日活躍用戶數(shù)量)大幅上漲,最高時是ETH的6、7倍。但EOS的DAU數(shù)據(jù)波動比較大,這和安全事件、群控刷量行為等諸多因素有關(guān)。
在看淺藍(lán)色的TRON的DAU數(shù)據(jù),數(shù)據(jù)量雖然最高只有5000,但畢竟它上線比EOS更晚,體量又小,從長遠(yuǎn)看,我認(rèn)為TRON的未來會有較大的發(fā)展空間。
下面這張圖是三網(wǎng)DApp交易額數(shù)據(jù)對比,數(shù)據(jù)分析也是截止到2018年12月13日。
可以看到黃顏色的EOS交易額數(shù)據(jù)要比ETH和TRON高的多。
總的來說,區(qū)塊鏈DApp爆發(fā),可以看作EOS是公鏈上的DApp爆發(fā)。
ZN
如何看目前大家戲稱EOS淪為博彩公鏈?
施華國
EOS目前的現(xiàn)狀確實是競猜類游戲為主,總數(shù)在DApp中占據(jù)了一半以上,并且交易額排名前幾的都是競猜類游戲。這個是不得不承認(rèn)的事實。
但是同時我們也可以看到,仍然會有些優(yōu)秀的DApp保持穩(wěn)定、健康增長。比如去中心化交易所Newdex,現(xiàn)在交易額已經(jīng)排名在第六。而另一款卡牌類游戲EOS Knights,在去除假量的真實DAU排名中,一直穩(wěn)定在前五的位置,也擁有忠實玩家。
近期又有些開發(fā)者從ETH上的DApp和傳統(tǒng)游戲領(lǐng)域開始轉(zhuǎn)型加入EOS DApp開發(fā)的隊伍中。
ZN
從行業(yè)度看,哪條鏈能獲得最大規(guī)模的開發(fā)者?哪種類型的DApp最有機(jī)會跑出來?
施華國
DApp用戶群體最大、熱度最高的還是EOS,開發(fā)者肯定是要集中最優(yōu)的資源在大平臺上做更大投入了。除了EOS,TRON發(fā)展的勢頭也很迅猛,通過我們的數(shù)據(jù)分析,發(fā)現(xiàn)兩個公鏈的DApp用戶活躍度確實會有部分相互影響,未來TRON或許會成為EOS的一個不可忽視的競爭對手。
至于哪類DApp會成為新的Killer DApp,這個不好說。好多DApp上線時都號稱自己是Killer DApp,宣傳搞得火熱但沒多久就涼了。不過目前看,游戲至少是一個好的開端。
ZN
如何看帶生態(tài)安全對于DApp發(fā)展的威脅?開發(fā)者將如何應(yīng)對?
施華國
截至2018年12月12日,共發(fā)生35起DApp安全事件,共損失超過41萬個EOS,市值近1000萬元人民幣。
我們發(fā)現(xiàn)從EOS生態(tài)早期到現(xiàn)在,黑客攻擊原理其實是在不斷演變的,從最早的溢出攻擊到合約RAM吞噬問題,再到重放攻擊、假EOS、假通知攻擊,以及近一兩個月比較活躍的隨機(jī)數(shù)和交易回滾攻擊等。黑客的攻擊手段越來越復(fù)雜,也越來越成體系,攻擊者還會定期用已知攻擊掃描漏洞嘗試攻擊新上線的游戲,這給EOS本來就薄弱的早期發(fā)展生態(tài)帶來了更大的挑戰(zhàn)。
開發(fā)者一定要對安全有足夠的防范意識,首先開發(fā)階段需要參考安全編碼規(guī)范進(jìn)行編寫代碼,以降低被已知漏洞攻擊的風(fēng)險;其次需要找專業(yè)的安全團(tuán)隊對合約代碼進(jìn)行安全審計;最后一點也是最重要的,你永遠(yuǎn)無法預(yù)知未來是否會遭到黑客攻擊。所以開發(fā)者一定要有一套完整的應(yīng)急響應(yīng)風(fēng)控系統(tǒng),確保當(dāng)真正遭受攻擊時,會及時預(yù)警并做熔斷處理。
?本文版權(quán)歸“鋅財經(jīng)”所有
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。