黑客肆虐，資產被盜，區塊鏈App如何談安全？

文/昊華、小C

編輯/鄧龍

在英劇《神秘博士》中，主人公的時間機器Tardis是一個電話亭。雖然從外面看著很小，但裡面的空間巨大無比。

如果Tardis放在互聯網世界中，它便是手機中一個小小的APP Store。

據工信部發布的數據，截至今年5月底，我國一共有415萬款移動應用。

聊天、煲劇、點外賣、訂票……現在的年輕人已越發離不開一個個APP。相似的場景，在不久後，也將發生在區塊鏈上。

在區塊鏈上的APP，被稱作DApp，即去中心化的APP。DApp基於智能合約，雙方將約定的內容寫進程式中，從而無法被篡改。

目前，基於公鏈開發的DApp數量保持高速增長。根據DApp.com數據顯示，今年前三季，以太坊上已有超過 900 個DApp，而在去年第二季度末，DApp的數量只有7個。

此外，如今市場上60％的DApp都是遊戲，在今年第三季度EOS上推出的60中新DApp中，超過一半是投注、博彩類應用。

在高速增長背後，DApp的安全問題不容忽視。一個小小的漏洞，會造成巨大損失。

今年10月底，基於EOS主網開發的DApp EOS Cast遊戲遭遇黑客攻擊，團隊账戶共損失了超過7萬枚EOS。據EOS當前價格估算，本次攻擊中，EOS Cast平台損失超255萬元人民幣。

由於區塊鏈上的數字資產採用的是匿名交易的原則，數字資產丟失後，幾乎無法找回。一旦發生黑客攻擊事件，運營團隊和用戶只能自認倒霉。

據PeckShield的最新數據，截至2018年12月12日，共發生35起DApp安全事件，共損失超過41萬個EOS，市值近1000萬元人民幣。

據鋅財經了解，目前DApp的安全問題主要在以下三個方面：

一是遊戲的邏輯設計問題，本身出現Bug；二是DApp遭遇黑客攻擊，資產被盜走；三是菠菜（博彩）類遊戲隨機算法被攻破。

DApp被黑客攻擊事件頻發，安全問題就成為DApp發展過程中繞不過的坎。

如何解決這些難題？如何在設計DApp時就防範有可能產生的安全問題？當DApp大規模爆發時，又會給公鏈帶來怎樣的壓力和挑戰？

12月20日，鋅財經舉辦了本月第三場區塊鏈主題分享活動，鋅財經創始人潘越飛邀請了PeckShield EOS安全負責人施華國對上述問題做出解答。

施華國原是網秦安全響應負責人、360高級安全研究員、阿里巴巴高級安全專家，有10年移動互聯網安全經驗,主要專注於軟體攻防和數據安全方向。

為什麽說DApp 已到大爆發時期？

施華國

目前三大主流DApp公鏈有 ETH、EOS和TRON。先看以下三個公鏈的特點比較。

左邊的 ETH 屬於 DApp 的第一代公鏈，從2015年7月30日上線，雖然已運行三年多，但由於高額GAS費用和每秒不到10個的交易速度，極大製約了它的發展。目前ETH上的DApp總數只有1705個，由於性能限制，在ETH上很難有高頻操作的遊戲。現在用戶活躍較高的DApp主要是去中心化交易所和低頻交易的遊戲。

而隨著EOS在2018年6月9日上線，經過了3個多月的穩定過度期，在10月初EOS開始出現大規模爆發，現在EOS上DApp 數量已經達到238個。

下面這張圖是三網的DApp日活躍度數據對比。

從圖中可以看到，EOS在10月初出現DAU（日活躍用戶數量）大幅上漲，最高時是ETH的6、7倍。但EOS的DAU數據波動比較大，這和安全事件、群控刷量行為等諸多因素有關。

在看淺藍色的TRON的DAU數據，數據量雖然最高只有5000，但畢竟它上線比EOS更晚，體量又小，從長遠看，我認為TRON的未來會有較大的發展空間。

下面這張圖是三網DApp交易額數據對比，數據分析也是截止到2018年12月13日。

可以看到黃顏色的EOS交易額數據要比ETH和TRON高的多。

總的來說，區塊鏈DApp爆發，可以看作EOS是公鏈上的DApp爆發。

如何看目前大家戲稱EOS淪為博彩公鏈？

施華國

EOS目前的現狀確實是競猜類遊戲為主，總數在DApp中佔據了一半以上，並且交易額排名前幾的都是競猜類遊戲。這個是不得不承認的事實。

但是同時我們也可以看到，仍然會有些優秀的DApp保持穩定、健康增長。比如去中心化交易所Newdex，現在交易額已經排名在第六。而另一款卡牌類遊戲EOS Knights，在去除假量的真實DAU排名中，一直穩定在前五的位置，也擁有忠實玩家。

近期又有些開發者從ETH上的DApp和傳統遊戲領域開始轉型加入EOS DApp開發的隊伍中。

從行業度看，哪條鏈能獲得最大規模的開發者？哪種類型的DApp最有機會跑出來？

施華國

DApp用戶群體最大、熱度最高的還是EOS，開發者肯定是要集中最優的資源在大平台上做更大投入了。除了EOS，TRON發展的勢頭也很迅猛，通過我們的數據分析，發現兩個公鏈的DApp用戶活躍度確實會有部分相互影響，未來TRON或許會成為EOS的一個不可忽視的競爭對手。

至於哪類DApp會成為新的Killer DApp，這個不好說。好多DApp上線時都號稱自己是Killer DApp，宣傳搞得火熱但沒多久就涼了。不過目前看，遊戲至少是一個好的開端。

如何看帶生態安全對於DApp發展的威脅？開發者將如何應對？

施華國

截至2018年12月12日，共發生35起DApp安全事件，共損失超過41萬個EOS，市值近1000萬元人民幣。

我們發現從EOS生態早期到現在，黑客攻擊原理其實是在不斷演變的，從最早的溢出攻擊到合約RAM吞噬問題，再到重放攻擊、假EOS、假通知攻擊，以及近一兩個月比較活躍的隨機數和交易回滾攻擊等。黑客的攻擊手段越來越複雜，也越來越成體系，攻擊者還會定期用已知攻擊掃描漏洞嘗試攻擊新上線的遊戲，這給EOS本來就薄弱的早期發展生態帶來了更大的挑戰。

開發者一定要對安全有足夠的防範意識，首先開發階段需要參考安全編碼規範進行編寫代碼，以降低被已知漏洞攻擊的風險；其次需要找專業的安全團隊對合約代碼進行安全審計；最後一點也是最重要的，你永遠無法預知未來是否會遭到黑客攻擊。所以開發者一定要有一套完整的應急響應風控系統，確保當真正遭受攻擊時，會及時預警並做熔斷處理。

本文版權歸“鋅財經”所有