• 11月23日 星期六

为何近期EOS频出安全事故?

EOS生态进展较快,但最近EOS频频出现安全问题,为什么EOS会存在安全隐患,它又做了哪些改进?本期嘉宾任彦丞从技术角度解析EOS,包括1.EOS网络现状;2.Bancor算法;3.近期安全事件。


主讲嘉宾


为何近期EOS频出安全事故?



讲座内容

一、EOS的网络现状

目前为止,加入投票的EOS达到3.9154亿个,占EOS总量的40%左右。中国大陆的6家超级节点分别是:火币矿池,zbeos、starteos、eosflytomars、EOS佳能、EOSBEIJING等等。其他还有香港,日本,新加坡,美国,欧洲,巴西等地的21超级节点。

目前运行在EOS上的dapp,根据dappradar.com的统计,大概六十个,主要是去中心化交易所和游戏/博彩类,其中EOSBET最近比较火,先是一个月内连续被盗两次,最近几天又在搞分红等。

EOS网络经历几次的RAM扩容,目前全网最高TPS应该是在4000左右,日常TPS也从之前的3~10涨到了现在20~40之间。

EOS的网络现状:

https://eosnetworkmonitor.io/

EOS的dapp统计:

https://dappradar.com/eos-dapps

安全方面,EOS最近更新的比较多。10月7日,EOSJS v20.0.0测试版更新,此版本能提供支持内置互换签名的程序,限制在可以自行选择的单个可信签名提供程序中,减少因恶意代码或用户错误而可能产生的潜在风险。目前主要还是交易所和游戏类,Monster听说要上3D版本。

为何近期EOS频出安全事故?


社区方面,目前的一些eos 电报群也都还很活跃,尤其开发者方面,可以看到很多新人在加入,线下的开发者聚会也很多,EOS使用的是WASM智能合约语言,开发者的接受度也比较好,兼容性和性能都还不错。

目前为止由于 WebAssembly 本身也还不是非常完善,所以它目前的主要作用是作为JavaScript 生态的有益补充,与JavaScript共存而不是取而代之。

但是通过其路线图我们可以得知,WebAssembly的设计思想非常优秀,目前所有存在的问题从长远的角度来说都是可以解决的问题。再加上 WebAssembly是非常罕见的由四大浏览器厂商共同宣布会大力支持并实现的功能,其浏览器兼容性问题也终究可以得到解决。

二、Bancor算法

Bancor Protocol,是由Bancor Network项目提出的整套流动性与价格机制的算法公式和理论基础,其特点主要是自动化的价格发现与流动性解决。

bancor有三个公式:


为何近期EOS频出安全事故?


其中主要几个概念是锚定币connector token,代币smart token和锚定币权重CW。在这个机制下,在确定T初始锚定代币准备金总量、总代币数量以及CW之后,对应的supply-price曲线可以很容易的画出来。


为何近期EOS频出安全事故?


具体的应用场景,一个是bancor network & Bancor X 交易所,之后的成名战是在EOS RAM,最近火的是FIBOS和PUB等等,bancor交易所的交易量一直比较小,单个代币的日交易量一般在几千到几万美金。

之后的EOS RAM价格机制,所有人都知道RAM价格疯涨,BM不断提扩容、改参数等方式来解决这个问题,现在RAM价格终于暴跌到无人关注。

这次对bancor算法的改进和应用其实是比较失败的,Bancor Protocol的一个核心思想即价格曲线的稳定性,这点在后来的尝试中被突破,不过EOS RAM的定价公式有很多可圈可点的尝试,其对价格曲线参数的选取、将CW优化掉、增发方式的选取,也不断被后来者学习。

之后Bancor算法的主要应用就是IBO,近期也是非常火的。FIBOS项目是EOS主网上线后推的一个以JavaScript为主导编程语言的侧链项目,其对应的代币为FO,按照EOS为锚定货币的Bancor Protocol发行。

FIBOS的定价模型严格利用了公式,其中的CW值设定为是11%,EOS池初始值(connectorreserve)为550000eos,FO总发行量100亿,其中开放兑换的是50亿,初始FO价格根据公式3计算为1EOS:1000FO。

FIBOS选择JavaScript这种群众基础好的语言,鼓励dapp开发。假设dapp开发量起来了,FO作为稀缺资源的期望真正做实,就会反哺FO价格和FIBOS开发团队。

另外FIBOS最近也在经济白皮书里提到了Bancor协议下的锁仓/解锁,增发,销毁模型。在满足恒等式情况下,如何调整变量,完全是可以人为的来控制和设计的。FIBOS把销毁和增发诠释为调整价格曲线,是否符合持币者(不只是项目方)的利益,目前还很难判定。

之后TPT等又发展出了不同方式的IBO体系,在我看来核心就在于,IBO的不断改进,都是真正为了适应dApp的发展,而不是仅仅具有融资及流动性需求的token。

传统以太坊上的ERC20代币在设计上,刻意强化了通证的流通特性,但是对于一个DApp来讲,通证的流动性并不是越强越好,根据Dapp的经济规模和发展阶段会对通证有不同的诉求。

整体来讲,Bancor protocol作为一种流动性和价格发现的解决方案,比较适宜作为盘子小并需要解决早期token流动性的长期项目,目前环境下也就是dapp比较合适。

三、近期安全事件

由于EOS主网差不多是强行上线,在上线后也是经历了很多次的安全事件,比较受关注的就是EOSBET被盗,作为差不多排名第一的dapp,EOSBET一直是黑客的重点照顾对象。第一次是八月底,之后是上个月15号,最新一次是前两天,被盗了不少EOS。

这里面深究起来,既有EOS问题,也有开发者方面的疏漏,几次事件中超级节点响应也比较快,丢失的EOS,项目方也在和交易所联系,帮助锁定和找回。

EOSBET目前还很活跃,近期一直在盈利,不过也可以看出EOS主链目前的安全性仍然有待改进,一些金融属性比较强的dapp上线前,需要比较慎重,目前的开发工具也不够完善。

注:部分内容引自【累计薅走数百万,EOS Dapps已成黑客提款机】【万字干货 | IBO的金融原理和应用方向分析】


问答&交流

O:近期,EOS报道了一些黑客攻击的事情,丢币常发生,这怎么看?

任彦丞:目前没有太好的解决办法,因为多方面都可能出问题。不过核心还是私钥,签名的防破解,以及dapp系统性安全措施的实施,架构上的分层防御加固,账户及权限系统繁荣优化等。

W:EOS跨链什么时候上线?

任彦丞:目前看,首先实现的是eos自身的侧链系统。并且在我看来,跨链很可能是由二层解决方案实现的,采用各种relay或者atomic swap。

上一篇新闻

佳能也学索尼开始卖自研的CMOS芯片了,网友:尼康赶紧来买

下一篇新闻

佳能EOS 1D X Mark II行摄兰卡威航空展

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。