为何近期EOS频出安全事故？

EOS生态进展较快，但最近EOS频频出现安全问题，为什么EOS会存在安全隐患，它又做了哪些改进？本期嘉宾任彦丞从技术角度解析EOS，包括1.EOS网络现状；2.Bancor算法；3.近期安全事件。

主讲嘉宾

讲座内容

一、EOS的网络现状

目前为止，加入投票的EOS达到3.9154亿个，占EOS总量的40%左右。中国大陆的6家超级节点分别是：火币矿池，zbeos、starteos、eosflytomars、EOS佳能、EOSBEIJING等等。其他还有香港，日本，新加坡，美国，欧洲，巴西等地的21超级节点。

目前运行在EOS上的dapp，根据dappradar.com的统计，大概六十个，主要是去中心化交易所和游戏/博彩类，其中EOSBET最近比较火，先是一个月内连续被盗两次，最近几天又在搞分红等。

EOS网络经历几次的RAM扩容，目前全网最高TPS应该是在4000左右，日常TPS也从之前的3~10涨到了现在20~40之间。

EOS的网络现状：

https://eosnetworkmonitor.io/

EOS的dapp统计：

https://dappradar.com/eos-dapps

安全方面，EOS最近更新的比较多。10月7日，EOSJS v20.0.0测试版更新，此版本能提供支持内置互换签名的程序，限制在可以自行选择的单个可信签名提供程序中，减少因恶意代码或用户错误而可能产生的潜在风险。目前主要还是交易所和游戏类，Monster听说要上3D版本。

社区方面，目前的一些eos 电报群也都还很活跃，尤其开发者方面，可以看到很多新人在加入，线下的开发者聚会也很多，EOS使用的是WASM智能合约语言，开发者的接受度也比较好，兼容性和性能都还不错。

目前为止由于 WebAssembly 本身也还不是非常完善，所以它目前的主要作用是作为JavaScript 生态的有益补充，与JavaScript共存而不是取而代之。

但是通过其路线图我们可以得知，WebAssembly的设计思想非常优秀，目前所有存在的问题从长远的角度来说都是可以解决的问题。再加上 WebAssembly是非常罕见的由四大浏览器厂商共同宣布会大力支持并实现的功能，其浏览器兼容性问题也终究可以得到解决。

二、Bancor算法

Bancor Protocol，是由Bancor Network项目提出的整套流动性与价格机制的算法公式和理论基础，其特点主要是自动化的价格发现与流动性解决。

bancor有三个公式：

其中主要几个概念是锚定币connector token，代币smart token和锚定币权重CW。在这个机制下，在确定T初始锚定代币准备金总量、总代币数量以及CW之后，对应的supply-price曲线可以很容易的画出来。

具体的应用场景，一个是bancor network & Bancor X 交易所，之后的成名战是在EOS RAM，最近火的是FIBOS和PUB等等，bancor交易所的交易量一直比较小，单个代币的日交易量一般在几千到几万美金。

之后的EOS RAM价格机制，所有人都知道RAM价格疯涨，BM不断提扩容、改参数等方式来解决这个问题，现在RAM价格终于暴跌到无人关注。

这次对bancor算法的改进和应用其实是比较失败的，Bancor Protocol的一个核心思想即价格曲线的稳定性，这点在后来的尝试中被突破，不过EOS RAM的定价公式有很多可圈可点的尝试，其对价格曲线参数的选取、将CW优化掉、增发方式的选取，也不断被后来者学习。

之后Bancor算法的主要应用就是IBO，近期也是非常火的。FIBOS项目是EOS主网上线后推的一个以JavaScript为主导编程语言的侧链项目，其对应的代币为FO，按照EOS为锚定货币的Bancor Protocol发行。

FIBOS的定价模型严格利用了公式，其中的CW值设定为是11%，EOS池初始值（connectorreserve）为550000eos，FO总发行量100亿，其中开放兑换的是50亿，初始FO价格根据公式3计算为1EOS：1000FO。

FIBOS选择JavaScript这种群众基础好的语言，鼓励dapp开发。假设dapp开发量起来了，FO作为稀缺资源的期望真正做实，就会反哺FO价格和FIBOS开发团队。

另外FIBOS最近也在经济白皮书里提到了Bancor协议下的锁仓/解锁，增发，销毁模型。在满足恒等式情况下，如何调整变量，完全是可以人为的来控制和设计的。FIBOS把销毁和增发诠释为调整价格曲线，是否符合持币者（不只是项目方）的利益，目前还很难判定。

之后TPT等又发展出了不同方式的IBO体系，在我看来核心就在于，IBO的不断改进，都是真正为了适应dApp的发展，而不是仅仅具有融资及流动性需求的token。

传统以太坊上的ERC20代币在设计上，刻意强化了通证的流通特性，但是对于一个DApp来讲，通证的流动性并不是越强越好，根据Dapp的经济规模和发展阶段会对通证有不同的诉求。

整体来讲，Bancor protocol作为一种流动性和价格发现的解决方案，比较适宜作为盘子小并需要解决早期token流动性的长期项目，目前环境下也就是dapp比较合适。

三、近期安全事件

由于EOS主网差不多是强行上线，在上线后也是经历了很多次的安全事件，比较受关注的就是EOSBET被盗，作为差不多排名第一的dapp，EOSBET一直是黑客的重点照顾对象。第一次是八月底，之后是上个月15号，最新一次是前两天，被盗了不少EOS。

这里面深究起来，既有EOS问题，也有开发者方面的疏漏，几次事件中超级节点响应也比较快，丢失的EOS，项目方也在和交易所联系，帮助锁定和找回。

EOSBET目前还很活跃，近期一直在盈利，不过也可以看出EOS主链目前的安全性仍然有待改进，一些金融属性比较强的dapp上线前，需要比较慎重，目前的开发工具也不够完善。

注：部分内容引自【累计薅走数百万，EOS Dapps已成黑客提款机】【万字干货 | IBO的金融原理和应用方向分析】

问答&交流

O：近期，EOS报道了一些黑客攻击的事情，丢币常发生，这怎么看？

任彦丞：目前没有太好的解决办法，因为多方面都可能出问题。不过核心还是私钥，签名的防破解，以及dapp系统性安全措施的实施，架构上的分层防御加固，账户及权限系统繁荣优化等。

W：EOS跨链什么时候上线？

任彦丞：目前看，首先实现的是eos自身的侧链系统。并且在我看来，跨链很可能是由二层解决方案实现的，采用各种relay或者atomic swap。