黑客肆虐、菠菜控场 DApp为何沦为一小撮人的狂欢？

来源/31QU

文/林君

熊市来临后，DApp一度被认为接过了公链的棒，成为解开区块链迷局的关键。

是不是区块链的良药还无法确定，但现在，DApp正深陷黑客攻击、安全的困扰。

自主网上线以来，大型的漏洞攻击就在逐个上演，有数据统计，一系列攻击事件导致项目方累计损失达数十万 EOS，价值超百万元。

“DApp已成黑客提款机”，有人如此评价。

曾经号称安全、可靠的区块链系统，反而成了黑客肆虐的场所，不计其数的Token流入黑客钱包，成为黑客的囊中之物。

除了黑客攻击，DApp的发展还遇到其他的问题，比如类型单一，用户稀缺。这些挑战，DApp开发团队应该如何应对？

1、DApp迎井喷式爆发

11月份以来，加密货币持续走熊。据CoinMarketCap数据显示，目前加密货币总市值约1300亿美元，较2017年12月17日最高市值8100亿美元，足足跌去了将近84%，众多加密货币与最高点相比，纷纷遭遇腰斩、甚至归零。

加密货币的寒冬与DApp的火热形成鲜明对比。

“之前的社群不是沦为广告群，就是没人说话，死掉了，但是我目前加的微信群中，最活跃的要数DApp交流群。”

区块链从业者冉华介绍说，由于工作关系，他基本上都会加入行业的各种微信群，随着加密货币行情骤冷，之前热火朝天讨论币价、热点的现象已经销声匿迹，目前还能保持每天近千条讨论的群组，只剩下DApp。

在经历公链、交易所、稳定币热潮后，基于公链开发的DApp开始后来居上。

据统计网站DappReview的数据，截止12月3日，基于以太坊开发的DApp共计1347个，单个DApp24小时最高活跃用户为751。

而今年6月底刚刚上线主网的EOS，DApp数量则呈现迅猛增长的态势，目前链上DApp项目超250个；另据IMEOS统计，目前EOS上排名前6的菠菜类DApp，周流水额均超过百万EOS。

一场EOS线下活动会上，EOS节点EOSbeijing创始人玉石曾热情洋溢地表示，目前EOS生态已经开始进入快车道，“从菜园到森林，是未来EOS将实现的目标。”

一切都是欣欣向荣的景象。

不过，生机盎然的另一边是岌岌可危的安全问题。

9月10日，黑客破解DEOSGames 游戏，短时间内，黑客利用随机数漏洞，赢走4000个EOS。9月12日，黑客发起攻击，导致一账户损失5000 个EOS。同一天，Fair Dice 被同一个种攻击手法攻破，损失 4000 EOS。9月14日，黑客在EOSBet 上，利用假币投注赢取真币，并将这部分假币转至交易所，最终挂单交易成功。

“EOS主网启动以来，平均每周被披露的至少1.5起DApp项目被黑事件……”慢雾科技创始人曾在朋友圈点评EOS当前的安全。

2、区块链安全：一牌两面

区块链信仰“Code is Law”，认为代码即法律，分布式技术可确保链上数据不可篡改，最大程度保证系统安全，尤其是区块链游戏，将资产上链，能在最大程度上保证用户资产。

但现在，基于此技术开发的DApp正深受安全问题困扰。

从今年7月25日到11月初，IMEOS共监测到18起EOS安全事件，每一起事件均导致EOS资产损失，有的损失达数万枚EOS。

“因为安全问题凉凉的DApp，我见过不少。”资深玩家墨客告诉31QU。

“据我了解，DApp的安全问题主要有以下几方面，一是游戏的逻辑设计问题，本身出现Bug；二是DApp遭遇黑客攻击，资产被盗走；最后一类是菠菜类游戏随机算法被攻破，黑客盗走大量资产。”墨客分析说，安全问题很致命，一但资产账户被攻破，黑客将资产转移，这个游戏“基本上就废了”。

“对于玩家来说，遇见这样的情况，也只能自认倒霉了。”墨客告诉31QU，虽然安全问题频出，但玩家也没有什么好的应对之策，“这种算是阶段性问题，只能靠时间去解决。”

玉石分析称，如果EOS上的DApp黑客攻击被及时发现，玩家还是可以通过EOS核心仲裁论坛裁决、回滚找回丢失的资产。

3、DApp安全攻防

DApp安全事件频出，成为区块链被诟病的原因之一。

“我不担心DApp目前存在的安全问题，因为这样的问题并不是区块链独有的，只不过区块链产品的金融属性强，与资金绑定紧密，一旦发生安全事件，直接涉及到玩家的切身利益。”慢雾联合创始人余弦告诉31QU，安全问题并非没有破解之道。

“区块链还处在非常早期的阶段，还没有统一的DApp开发标准情况下，问题出现、解决、迭代是必经的阶段。”余弦表示，在这样的情况下，DApp团队一定要在项目启动前，就做好安全架构规划，对于同类项目已经出现过的漏洞，要参考，避免“再入坑”。

“同类DApp被攻击后，要及时确认自己的合约是否也存在类似漏洞。”给出如此建议的原因是，在短时间内，EOS上曾出现了多起采用同种手法、攻击不同DApp的安全事件。

9月14日，代码未开源的掷骰子游戏EOSBet被攻击，黑客通过创建名字为EOS的“假币”，套取了项目账号中真的EOS；随后，相同手法又被用在了 EOS.win上；就连去中心化交易所Newdex也难逃“假币攻击”，用户损失了近万枚EOS。

另外，黑客通过找到竞猜游戏中“随机数”规律，顺走大额奖金的案例也屡见不鲜。因此，有人评论称，DApp漏洞频发，俨然已成黑客的提款机。

“互联网产品在安全方面的支出占比大概在10%~15%，但对于区块链产品来说，我们认为这个数据至少要上调5个百分点，达到15%~20%。”余弦认为，由于DApp的特殊属性，要求团队必须拨出足够精力，来思考安全问题。

4、深陷困难境地

除了安全，DApp还面临众多问题。

首先是高企的门槛，加上玩法并不高级的游戏，让DApp沦为菠菜类游戏的天堂。

“要想玩DApp，你至少得知道加密货币吧，然后你得有EOS账号吧，还得了解CPU、RAM、Scatter吧。”墨客分析说，这样的高门槛挡住了普通玩家，即便了解这些问题的圈内人士，也会有一大部分会对目前市面上设计粗糙、逻辑简单的游戏提不起兴趣。

“风险偏好高的玩家希望收益快，而能满足这两个条件的只能是菠菜类游戏。”墨客认为短时间内，DApp还是逃不开菠菜类游戏肆虐的魔咒。

有媒体统计，截止12月1日，在EOS活跃前10DApp中，菠菜/资金盘类游戏占了7席；波场更甚，前10DApp中，菠菜/资金盘游戏占了8席。

“现在的DApp游戏，完全是存量用户在玩的零和游戏。”余弦对当前的DApp生态做出如此评价。

12月1日，安全团队PeckShield 发布了一份报告，报告显示，截止11月19日，EOS主网一共有506310个EOS账号，其中沉默账号达39%，群控账号占23%，活跃的账号仅占37%。

也就是说，号称50万用户的EOS，真正活跃人数不超过20万。

“有时候新游戏上线，在新组建的玩家群里，大家发现进来的都是熟人。”墨客调侃地说，这样的现象见怪不怪。“可能500个人分散在不同的群，话题从这个群聊完，再到另一个群接着聊，完全不违和。有人评论说‘DApp只是一小撮人的狂欢’，有时候确实会有这样的感觉。”

新用户太少，日活几百，菠菜类游戏占主导地位，DApp面临的众多问题亟待解决。

结语

以太坊的吞吐量限制了DApp用户数量和增长速度，EOS、波场等公链出现后，极大改善了DApp低延迟、实时互动问题，低廉、甚至免费的交易让用户多频操作成为可能，DApp似乎正朝着肆意生长的方向发展。

但黑客攻击等安全事件，犹如拦路虎，横亘在DApp发展面前，成了目前不得不解决的问题。

每次安全事件发生，区块链DApp是否可靠的观点就会被重提。

“DApp本身不安全，用户自然而然就缺乏安全感。”余弦认为，开发团队自然要重视安全，除此之外，还应该关注公链的可持续发展问题，包括技术迭代、如何保持生态良性发展等。

“也许DApp不会很快迎来大规模爆发，但可以确定的是，它不会很快死，像加密猫、Fomo3D的爆款肯定还会出现。”

墨客告诉31QU，虽然目前菠菜类游戏占多数，但好玩的DApp还在后头呢。