|作者:区块律动BlockBeats0x30
|欢迎添加作者微信qkldlinda与他进行交流!未经授权禁止转载!
本期波场生态有两个DAPP被黑客攻击受到广泛关注。
4月10日晚上,黑客向波场竞猜类游戏TronWow发起随机数破解攻击,共计获利216万个TRX。4月11日凌晨,黑客向波场资金盘游戏TronBank发起假币攻击,1小时内被盗走约1.7亿枚BTT。
一位资深开发者告诉区块律动BlockBeats,EOS主网上线以来生态内一些事件,比如DAPP的崛起、资金盘喊单、挖矿搬砖盛行、羊毛党薅羊毛,甚至连黑客攻击,都在波场上复现了。就拿近期的TRON生态事件来说,连DAPP出现的bug类型也是一致的。
关于最近TRON生态接连面临假币攻击、随机数破解等EOS早期频繁出现的问题,安全团队PeckShield创始人蒋旭宪告诉区块律动BlockBeats,此前TRON生态还发生过代币无限增发问题,今后不排除其他相关攻击方式(比如合约溢出、交易阻塞等)在TRON生态陆续出现的可能。
以太坊、EOS的安全漏洞很可能在波场重现
蒋旭宪表示,由于波场在实现上结合了以太坊和EOS的设计,在智能合约上同样使用了Solidity编程语言,原先以太坊上出现的合约缺陷同样有可能在波场复演。
也就是说,在漏洞层面,2018年PeckShield发现的BEC和SMT的安全漏洞batchOverflow完全可能在波场会重现,差别可能就是合约代币本身的价值不同。
另外,波场也参考了EOS的共识机制和支持竞猜类DApp,2018年PeckShield报道过的多个竞猜类DAPP上的安全问题,蒋旭宪也认为有很大机率重演。这次BTTBank和TronWow的攻击很可能只是个开始。
PeckShield整理了关于EOSDAPP攻击手段的演进时间线图表。在上图中,红色方块内的攻击方式都是有可能将在波场上复现,红色方块外的攻击方式是EOS公链特有的,在波场上复现的可能性不大。
蒋旭宪此前曾分析,波场公链的DAPP市场高度繁荣但一直未曾遭到过EOS公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。
除了上述提到的,由于波场在实现上结合了以太坊和EOS的设计,各自出现的安全问题都有可能在波场上以某种方式出现。特别是波场合约部署后不可更改,再加上类似EOS的共识机制,会直接影响未来可能的攻击方式,包括攻击合约的部署,以及可能的交易回滚或阻塞。
但考虑到每一条公链都有其特殊性,公链能够上线并稳定运行也是有其必然性,黑客攻击的角度也是可能从多方面进行,包括但不限于公链上的创新设计,底层架构,P2P协议层等。
开发者的错并不代表波场协议完全安全可靠
关于最近的波场DAPP安全问题,主要是开发者的问题。波场官方也表示,该合约安全问题出现在波场DAPP上,与协议本身没有任何关系,波场协议完全安全可靠。
蒋旭宪认为,最近的这几次攻击的确是开发者的问题,但也不能因此说明波场协议完全安全可靠,更大可能反而是新的共链层面的安全问题还有待曝出。在众多的DAPP安全事件里面,公链团队可以做的也是多及时关注已知的DAPP安全问题,并同时积极思考公链层面可以增强和改善的环节。
也有开发者认为,由于公链都是开源社区,开发者水平参差不齐,DAPP质量也参差不齐,EOS开发者犯的漏洞错误,波场开发者一样会犯。而且不少DAPP是没有准入审查的,门槛非常的低,不排除有DAPP在开发之初就有恶意埋雷。
蒋旭宪提醒,对于用户来说,应该尽量参与那些靠谱的DAPP应用。在安全研究人员的眼里,很可能是所有DAPP都有或多或少安全方面的问题或隐患。所以用户最好是多了解DAPP本身是否有考虑相应的安全模块和响应机制,DAPP合约是否有第三方的独立审计,同时注意关注DAPP对应的社区或IM沟通群,及时获取相应资讯和安全动态。在有安全事情发生的时候,可以及时止损。
EOS排行榜
本期EOS榜单前3名分别为Hashbaby、LoreFree、ENBank。EOS上周活跃用户为106,888。
TRON排行榜
本期TRON榜单前3名分别为Gakex、TronWoW、Bankroll。TRON上周活跃用户为33,145。
ETH排行榜
本期ETH榜单前3名为MyCryptoHeroes、IDEX和CDPPortal。ETH上周活跃用户为12,154。
IOST排行榜
本期IOST榜单前3名为MyCryptoHeroes、IOSTJoy和IOSTROI。IOST主网上线后仅一个月,DAPP生态就已经十分繁荣,4月初IOST每日处理交易数量已经超过以太坊。
此外IOST在Layer2也有新进展,4月11日,IOST表示将接入隐私计算团队ARPA的Layer2方案,为IOST公链提供隐私保护和安全计算的功能。ARPA通过安全多方计算(MPC)技术,为IOSTC端和B端用户提供基于加密运算和区块链的隐私数据安全流转解决方案,促进IOST公链生态建设。
未来在IOST上的开发者将能够调用ARPA安全计算网络进行能够保证用户隐私的DAPP开发。短期内的ARPA的切入点为企业级隐私数据共享,例如金融领域的多方联合征信、联合KYC,保险领域的多源数据联合风控、敏感信息查询,大数据营销领域的联合用户画像等。该项目长期会在B端金融、营销、医疗等领域共同进行商业拓展,以及C端的个人数据安全管理与变现、钱包分布式KMS等领域的探索。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。