BM只顾埋头发展，黑客只管伸手捞钱

文 | 共享财经Neo

BM（EOS创始人）又要头痛了。

没错，老大难问题——黑客来了。

如约而至

作为号称区块链3.0的EOS，自今年6月份主网上线以来，其发展态势一直以来就被人们看好，甚至有不少人都认为EOS可以超越以太坊。

而EOS开发人员也做出了巨大努力，从今年6月份到现在，EOS版本已经更新了4次，可以说无论是从性能还是活跃度方面，EOS一直都在为用户呈现自身强大的发展潜力。

但是，就算是像EOS这样的天之骄子，也没有一路顺风顺水。

如果说以太坊目前的死对头是像Fomo3D的博彩类游戏，那么EOS所要面临的最大问题就是它的“恋人”：黑客。

9月14日，多个EOS游戏合约遭到黑客攻击。据悉，此次攻击与EOSBet和EOSWin有关。

黑客利用EOSBet智能合同中的漏洞，从其运营钱包中窃取了4万EOS(约20万美元)。EOSBet的一位发言人告诉用户:“几个小时前，我们被攻击了，大约有40000个EOS从我们的资金中被窃取。”“这个bug并不像之前说的那样轻微，我们还在做取证工作，把发生的事情拼凑起来。”

消息一出，EOS价格在当日就下跌了1.34%。同比下跌幅度超过了BTC、BCH、ETC等主流币。

黑客的突然袭击对于EOS来说，更像是如约而至。有网友统计，自从EOS主网上线以来，已经接连遭受了4次黑客攻击，再加上这一次，目前为止，已经是那些热衷于EOS的黑客，第5次从自己“兜里”拿钱了。

然而，对于这些赶也赶不走，又偏偏对EOS“如胶似漆”的黑客，EOS的表现让人看来，更多的却是无可奈何。

苦不堪言

其实在EOS主网上线之前，就屡遭负面新闻缠身。“史诗级”漏洞、百万私钥被盗、主网瘫痪，安全问题似乎已经成为了EOS最大的硬伤。

5月29日，国内网络安全公司奇虎360发现了EOS一个严重的漏洞，360表示，这一漏洞的存在，使得黑客通过远程攻击即可直接控制和监管EOS上运行的所有节点，原始网络保护屏障等同于摆设。交易所被远程控制，等同于护城河被打通，因此该漏洞被业内成为“史诗级漏洞”。

就此，著名加密货币研究者兼康纳尔大学教授Emin Gun Sirer批评了EOS的开发人员，他认为这些开发人员没有去寻求共识协议专家的帮助。他还预言，明年将会有一场大规模利用EOS漏洞的黑客攻击，而且考虑到开发人员处理关键安全问题的方式，这一攻击的出现很可能是不可避免的。

事实证明，Emin Gun Sirer此番对于EOS的评价，是具有前瞻性的。时间还没有到明年，EOS已经被黑客折磨的苦不堪言。

7月11日，EOS平台上的秘钥，被曝光存有安全隐患，最终的结果是直接损失3000多个EOS代币。7月16日，因存在假账号现象，EOS安全风险预警再一次拉响，最终的结果是EOS惨遭铁滑卢，跌至8.37美元。

时间来到8月份，大热的Fomo3D的EOS版狼人杀，在上线2天后就被迫停服。原因就是是EOS 智能合约底层 asset 类存在严重缺陷，遭遇黑客攻击，从而导致60686.4190个EOS被盗。

据360Vulcan团队情报称，EOS 智能合约底层asset类存在严重缺陷，在数值计算时存在溢出风险，目前360Vulcan团队已反馈给EOS官方漏洞平台。这与慢雾安全团队7 月 25 日预警的EOS狼人游戏出现溢出攻击的根源有一定关系，狼人团队与慢雾取得联系后，与 360Vulcan团队都通过对合约源码进行审计发现，果然asset计算存在该溢出问题。

而从公告中可以看到，官方选择的方法竟然是规劝黑客归还EOS。

据记者了解，规劝无果后，最终的结果是冻结黑客的钱包账户。截至目前，6万EOS至今下落不明，事情不了了之。

9月10日，有黑客利用EOS投注平台漏洞连续24次“赢得”奖金，总计约2.4万美元。DEOSBet是DEOSGames旗下的一个投注平台，最近在不到一个小时的时间里，一场去中心化骰子游戏向一位玩家支付了24次奖金，总奖金接近2.4万美元。DEOSGames已经在其社交媒体上证实了这一漏洞的存在。

再加上前两天4万EOS被盗事件，从6月份至今，短短3个多月，黑客已经多次光顾EOS这位老主顾。对此，有网友评论，BM只管埋头发展，黑客只管伸手要钱，而背后吃亏的，永远只是用户和韭菜。

安全第一

对于EOS这个一年募资40亿美元的明星项目，种种负面新闻造就了它两个极端的评价。支持者认为它是开启区块链3.0时代，而反对者则认为它是史上最大的空气币、传销币，存在着严重的安全隐患与欺诈性。

但是，EOS开发人员的敬业程度却毋庸置疑。事实上，EOS在Github上的进度更新一直高居在上，相比于其它那些挂羊头卖狗肉的空气项目，EOS在众多优质项目中的开发进程，都称得上是佼佼者。

公开数据显示，目前为止，加入投票的EOS达到3.833亿个，占EOS总量的38.33%，相比昨天增加约10万个，增幅为0.026%。参与EOS投票的账户达到30761个，相比昨天增加137个。EOS账户总数达到322551个，相比上周同期增加18122个。

而在DApp方面，数据显示，EOS在过去24小时内共有11428名DApp用户，而以太坊网络则为10562名。此外，EOS7天的DApp交易量为4800万美元，以太坊仅有2600万美元。EOS的每日DApp用户和交易量已经超过了以太坊。

虽说目前EOS的价格持续低迷，但是区块链活跃中有数据统计，EOS的Acticity活跃度排名第5，仍有大批EOS的拥趸。

无论是之前RAM的扩容，侧链通讯的提出，DPOS算法的迭代，还是如今新金融服务WORBLI的推出，和近日BM发文要引入资源代币REX，都代表着EOS的辉煌战果。

但是，有些饱受安全漏洞折磨的网友并不买账。有网友称，“从RAM炒CPU，今天又来了炒资源代币REX，有这功夫，怎么不把自己的安全漏洞管好呢，真是越来越看不懂EOS了”。

在此前，也有一位360安全团队的成员称，“EOS主网将于6月2日上线，现在他们在GitHub上的更新速度极快，很容易忽视安全问题。”

有业内人士认为，现在的EOS步子太大，过度包装，虽然一系列新模式、新技术层出不穷。但是其在主网上线之后才开始进行漏洞检查，其安全审计相对滞后，这种不负责任的态度等于让持币者承担了所有风险和后果。而大肆宣扬其募集资金和成果展示的行为，无疑又为迷途中的黑客点亮了指明灯，从而让黑客蜂拥而至，跃跃欲试。

再加上21个超级节点过于中心化，容易遭受外部控制。对于之前的“狼人杀丢失6万EOS事件”，就有媒体分析，与EOS的21个超级节点，Hello EOS的负责人“EOS奶王梓岑”有关。

而EOS创始人BM对于黑客攻击的态度，往往是靠外悬赏，发现漏洞从而修复。EOS漏洞赏金计划（1个漏洞1万美元），已经成为了EOS发现漏洞的主要手段。

比如在6月2日，EOS为360公司支付了3万美元的致谢费；6月5日，一网友发现了8个漏洞，获得8万美元；6月6日，荷兰黑客GuidoVranken一周找到了12个EOS漏洞，获得12万美元；在最近的9月13日，一个名为“yukichen”网友依靠EOS漏洞赏金计划，在三个月内获利14万美元。

但是，这也让外界为BM打上了“根本不懂网络安全”的标签。

EOS打着开启区块链3.0口号，想利用其技术的优势更加拥抱区块链，从区块链这一潮流中捞取一波红利，但是却由此忽视了安全漏洞的问题，导致现如今都黑客缠身。

漏洞并不可怕，可怕的是存在的漏洞并没有被意识到。对于募集了40亿美元，背负着如此多投资者的信任的EOS，面对漏洞时却采用"打地鼠"的态度去对待，这样无法从根本上解决问题。

长此以往，EOS不仅仅会不定时出现大量损失，更会消磨人们对于EOS的信心。