不科学！EOS DAPP频遭攻击，但EOS币价却三连阳？

作者 | 殷耀平

引言

12月19日，据安全公司PeckShield安全播报，EOS四款竞猜类游戏BetDice、ToBet、EOS MAX和BigGame疑似遭遇同一帮黑客的攻击，初步估算， 累计损失超288329.85个EOS （折合人民币约519万）。事后黑客批量创建了多达 2,190个子账号 实施资金转移，试图逃离ECAF追踪，目前，转移操作仍在继续，该笔资金尚未转至交易所。

自EOS主网落地后，基于EOS开发的DAPP应用便与日俱增。据Dappreview数据，目前基于EOS的DAPP应用已近230个，成为继以太坊之后的第二大区块链应用平台。且EOS DAPP的日活跃用户数和交易量已远远超出以太坊平台上DAPP应用的同期表现。

而跟随EOS DAPP活跃度和交易量一路蹿升的，还有广大黑客的关注度与强大执行力。

EOS DAPP 攻击愈演愈烈、竞猜类游戏成最大靶心

据小葱不完全统计，截至12月19日，EOS平台上的DAPP应用共遭遇了 35起 黑客攻击，波及EOS DAPP近30个。

除去部分未披露损失情况的应用，项目方已累计遭受损失达 72万个EOS ，按照现价（18元/EOS）约合 1296万人民币 。

从攻击对象上看 ，黑客似乎格外青睐竞猜类DAPP应用， 91.2%的攻击对象是竞猜类游戏 ，仅少量的交易所（如Newdex）及其他游戏应用在列；而EOSBET、EOS.WIN等高频竞猜应用则多次被攻击，且损失巨大。

从攻击方式上看 ，黑客的攻击手段从最初的“溢出攻击”到9-10月份的“假EOS攻击”、“重放攻击”、“假转账通知攻击”，而后到近期屡试不爽的“随机数攻击”和“交易回滚攻击”，可见，黑客的攻击手法正在不断演变且愈发复杂。

注：仅搜集了市场上已曝光的攻击事件

从上述被曝光的攻击案例来看，自7月份发生第一起攻击事件之后， 每月皆有5起以上 DAPP攻击事件，损失金额从427EOS-200000EOS不等（除去损失金额未知的项目）。

目前来看， 攻击频次最高 的是10月份，共10起（平均每3天出现1起），累计损失金额达23.5万EOS（近423万人民币）。

所有受攻击应用中 损失最大的 ，属竞猜类游戏BetDice，其因12月19日遭黑客攻击致损失高达20万EOS（约360万元），其次是10月份EOSBET（损失约262万元），其次是10月份EOSCast（损失约131万元）。

但进入12月份之后，黑客攻击似乎愈发频繁 。从12月3日-19日，半个月时间内就发生了 8起 DAPP黑客攻击，且 损失金额达到近几个月中最高 ，31.65万EOS（约557万元）。

受攻击的EOS DAPP中，不乏像EOSBET、EOS.WIN、Newdex这样的高频DAPP应用。黑客利用游戏漏洞提高自身中奖概率，极大影响了游戏的公平性，同时给其他玩家带来直接损失。

据小葱了解，多数黑客在攻击完成后，会迅速将所得EOS转移至币安、火币及Bitfinex等交易所进行变现，EOS仲裁论坛（ECAF）追回被盗的 EOS 难度较大。

而受攻击的游戏项目方采取的应对措施 ，多是暂停游戏及时止损，然后修复相关漏洞，绝大部分攻击损失都将由用户承担。仅极少数项目方（如ToBet）愿意承担黑客攻击造成的损失。总体来看，近几个月，黑客攻击事件的愈演愈烈，无疑会对EOS DAPP应用的普及率和应用率造成负面影响。

而从整个攻击历程来看，黑客似乎已经对攻击竞猜类游戏产生了浓厚兴趣，在近几个月中，不断尝试挑战破解新的竞猜类游戏，小葱认为原因有两点：

• 一方面，EOS平台上竞猜类DAPP本身占据绝对优势，交易量和流动资金聚集效应明显。据小葱统计，数量上，竞猜类DApp占比达62.17%;交易额上，竞猜类DApp交易额占比为79.82%。
• 另一方面，竞猜类应用开发者技术实力参差不齐，安全防护缺失。竞猜类游戏应用的火爆，吸引了众多开发者纷纷进场，并在极短时间内就推出大量新游戏，安全防护及游戏机制的设计疏漏普遍存在，给了黑客可乘之机。

EOS行情大好：三连阳风头正盛

一边是近期EOS DAPP遭攻击的新闻不绝于耳，而另一方面，小葱发现，近日EOS行情一片大好。

据CoinMarketCap数据显示，EOS的市值已达到23.44亿美元， 全球排名第4 ，位列比特币、瑞波币和以太坊之后，这是EOS自诞生以来，达到的最高市值排名。

另据小葱APP行情显示，近三日，EOS与BTC、XRP等10个币种已连续三日持续上涨，其中，EOS 三连阳累计涨幅达到41.56% 。

其实，早在EOS主网上线之前，就屡遭负面新闻缠身。“史诗级”漏洞、百万私钥被盗、主网瘫痪，安全问题似乎已经成为了EOS最大的硬伤和槽点。

而让小葱意外的是，EOS DAPP的攻击越来越频繁，且损失金额也越发庞大。为此，小葱采访了PeckShield安全团队，该团队回应称，EOS平台上的DAPP出现攻击频次如此高，有多种原因：

1）EOSIO公链本身存在一些系统漏洞 。

• 例如竞猜类游戏FastWin攻击事件中，黑客利用的就是EOS系统的“内联反射(inlineReflex)”漏洞，EOSIO官方系统对调用合约自身函数存在不校验权限的问题；
• 今晨连续四个EOS竞猜类项目也因EOS Node存在漏洞有关，造成了总计超500万元的损失。
• 较早期类似的问题更多，比如溢出攻击、RAM吞噬等。

2）EOS游戏合约开发者欠缺安全意识和合约开发规范。

• 例如TRUSTBET游戏遭受重放攻击，是由于开发者设计的开奖随机算法存在严重缺陷，使攻击者可利用合约漏洞重复开奖，这是一种较低级的错误，若开发者适当加强安全防范意识和合约开发规范，是可以一定程度避免的。
• 此外，近期频繁曝出的随机数攻击，交易回滚攻击等也属于此类漏洞，有的游戏还在测试期间就主网上线了，结果是才一上线就被攻击了。

3）区块链上的犯罪成本低廉，监管体系不完善 。

这是各大区块链平台遭受攻击的一个共通原因，目前的惩罚力度明显不足，相应监管使用的法律法规还不够完善。在EOS上， 基于ECAF的治理机制也还有很长的路要走。

4）EOS平台并非频遭攻击的特例。

以太坊此前也曾频繁曝出智能合约攻击事件，目前几大公链都处于生态发展早期，且由于大部分游戏合约都采用游戏挖矿的模式吸引玩家，往往可在短时间集聚大额资产，自然成为首要攻击对象，哪里有财富，哪里就是黑客活跃的天堂。

因此，对于日渐变本加厉的DAPP黑客攻击，只能说 EOS 生态虽然应用增长较快，但其平台之上的应用开发能力和安全防护能力则明显滞后。

最后，对于EOS币价的意外走强，小葱想说的是，安全事故的热度也是热度，EOS从来都在话题中心不是吗？