“获取分析”EOS成为“赌博”公链 开发者频遭黑客攻击

最近EOS的公链频频爆出安全问题，黑客使用了多种巧妙的手段攻击部署在EOS上的区块链游戏。由于很多开发者的“风险控制”能力较低，黑客可以很容易地转移账户系统中的资金。

首先，关于EOS DApp生态安全的讨论甚嚣尘上。Chain发现这次EOS公链上爆发的安全问题还是集中在竞猜和赌博类游戏上。至于EOS的公链，对赌博游戏的攻击已经完全影响了EOS整个网络的安全，因为赌博游戏贡献了EOS公链90%以上的交易量。

黑客攻击评论

首先我们来回顾一下最近EOS公链上爆发的黑客事件。

10月15日中午，知名EOS公链赌博游戏平台EOSBet遭遇恶意攻击，损失巨额EOS。安全公司PeckShield的分析发现，黑客通过“伪造转账通知”从EOSBetDICE 11获利138,319.7995EOS，这是EOSBET合同在检查收款人时的漏洞。更可怕的是，EOSBet在上线十天内遭到了三次攻击。

10月31日凌晨，EOSCast游戏连续9次遭到黑客攻击，7万多台EOS被黑客转走。这次黑客主要采用了“假EOS”的攻击方式。可以理解为，黑客基于EOS创建了一个token，命名为“EOS”，并开始向被攻击的合约账户转移大量假冒的EOS tokens。由于合同没有检测到EOS的发行人，误将“假EOS”转账视为真，然后调用合同中的转账函数，按照抽奖流程发放奖金。

11月8日凌晨1点，EOS公链上的另一款竞猜游戏FFgame被黑。黑客账号jk2uslllkjfd对FFgame游戏契约(eoswallet415)发动了多达304次攻击，共获利1,331.2922 EOS。这种攻击主要是通过“编写契约代码计算游戏的获胜规则”来进行的。

10月10日，EOS竞猜游戏EOSDice再次被黑，损失了4633个EOS。攻击EOSDice的原因也是“随机数问题被攻破”。11日上午，DApp EOS。WIN也被攻击者(lockonthecha)攻破。

安全公司PeckShield的安全专家南华告诉Chain，“假通知”和“假EOS”对于开发者来说是非常低级的错误。抛开这些涉及金额较大的黑客事件不谈，10月份，黑客利用不同的账号入侵了EOS公链。直到10月15日，赌博游戏EOSBet被黑客盗走14万EOS，才逐渐引起市场的关注。之后黑客的游戏也在不断变化，针对EOS的攻击手段也越来越猖狂。在过去的一个月里，超过五个EOS问答游戏遭到攻击。

沦为EOS“赌博”公链

关于EOS的安全问题，安全公司360在主上线之前就查出了“epic漏洞”。在后期的运营中，由于用户之前对EOS公链的宣传和实际使用的差距，这半年来EOS的运营可以用“不温不火”来概括。紧接着，9月以太坊网一款名为“Fomo3D”的集资游戏开启了集资模式。从用户的关注到以太坊的资金流向，都是围绕着这款游戏展开的。不出意外，当时由于巨额奖池的诱惑，黑客也将魔爪伸了进去，大奖的空投被黑客疯狂窃取。

后来由于安全问题频发，玩家的热情逐渐消退，以太坊电玩游戏也回归沉寂。然而，一个月后，EOS平台上复制的竞猜和赌博游戏也复制了以太坊中的“受害者”角色。毕竟基金游戏的操作没有逃过黑客的注意，黑客开始频繁骚扰EOS。Chain发现黑客的突然出现与DApp的活动高度相关。

根据DappReview的数据，截至11月11日，EOS公链中有158个DAPPs在运行，其中77个属于“彩票”类别。如果按照“24小时成交额”的升序来找，前50名99%都是彩票游戏。相比以太坊，我们可以更直观的看到为什么黑客在EOS公链如此活跃。

EOS和以太坊DApp的比较(测验类)

根据链家的统计，也是“抽奖”游戏。以太坊被EOS彻底打败了，无论是日常活动还是当天的成交额。即使是活跃在以太坊的前十大dapp，日工数量也不到EOS的一个dapp。从另一个维度对比发现，以太坊有1272个DApp，是EOS的近10倍，但EOS的日均生活量和交易量是以太坊的10倍，赌博竞猜游戏贡献了90%以上的交易量。可以说，EOS公链已经沦为“赌博”公链。

PeckShield华南区告诉Chain De，以前Fomo3D所在的以太坊公链交易频率较低，而且由于自身结构的原因，以太坊每笔交易都需要消耗一定的气费。而EOS网络不需要交易费，这在一定程度上促进了游戏开发者快速转向EOS平台。

该链还得通过DAppRadar查询，发现与以往“赌博”占据交易量前列的情况不同，排名靠前的以太坊应用逐渐被“交易所”取代。

南华补充道，无论是以太坊还是EOS，高匿名性的特点给了其作恶的极大优势。另外，由于6月15日EOS主网正式上线，编码、语言、框架等很多因素对游戏开发者来说都是新的，难免会出现一些非常低级的错误。“之前有一些游戏，甚至用错了开源代码。”

华南提醒开发者，建议参考官方开发文档，避免低级错误；此外，所有产品在上线前都需要经过安全审计公司的审计，将安全风险降到最低。对于所有的赌博游戏来说，稳定的安全风险控制系统或者自动预警系统是必不可少的，需要保证黑客攻击时及时止损。(本文为链家App独家首发)

本文原载于Chain，由钛媒体App授权，作者秋成。

更多精彩内容，关注钛媒体微信号(ID: taimeiti)，或下载钛媒体App。