DAPP趋势榜:这10个人创建了2万个账号来薅羊毛

浪花财经浪花财经 观点 2018年11月12日
1.53W 0
本周的 DAPP 趋势榜单游戏类型并未发生大的变化,各个公链的属性并未改变。以太坊 DAPP 生态中收藏类游戏再次回归大众视线,去中心化交易所 DAU 和交易量虽有下降但仍是主流。EOS DAPP 中

本周的 DAPP 趋势榜单游戏类型并未发生大的变化,各个公链的属性并未改变。以太坊 DAPP 生态中收藏类游戏再次回归大众视线,去中心化交易所 DAU 和交易量虽有下降但仍是主流。EOS DAPP 中前期火热的博彩 DAPP 瞬间落榜,但很快又有新的博彩 DAPP 上位,EOS 骑士人数稳步上升。波场博彩 DAPP 较上周持平,未发生巨大变化。

在与 PeckShield 的合作中,我们发现 EOS BetDice 游戏存在 DAU 虚高问题,「大多数玩家」其实由 10 人控制。详情请移步 EOS 趋势榜部分查看。

本期我们将讨论近期发生的多期 EOS DAPP 智能合约安全漏洞问题,为什么只是玩个游戏而已,却有这么多问题?

以太坊排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

以太坊 DAPP 趋势与上周没有多少变化,新增了一款名为 FCK 的博彩 DAPP,0xUniverse 接着 0x 的名字登上前 10 榜单,实际上这是一款区块链收藏游戏。

以太坊 DAPP 的交易量较上周整体下滑了 20% 左右,交易额主要集中在去中心化交易所和博彩两类 DAPP 中,资金盘类 DAPP 正在淡出以太坊生态。

EOS 排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

EOS DAPP 趋势榜与上周没有发生实质性的变化,前 10 中有 8 个是博彩 DAPP,另外两个是 PRA 糖果盒和 EOS 骑士。但是之前在榜单上的 MyEosVegas、Chintia、EOSBet 等游戏已经跌出前 10,BetDice 也从第一名直落第 8 名,日活已经跌到不足 3000 DAU。

如果博彩游戏的用户数量是真的,那么用户是不会因为挖矿减少而不玩的,而在短短两天内 BetDice 从 32000 DAU 掉到 2700DAU,是否意味着其中有近 3 万刷量机器人,真实用户只有 2000 多人?EOS DAPP 的实际用户到底有多少?我们从 PeckShield 安全团队那里拿到了一组数据,数据显示,BetDice 中确实存在大量的羊毛党机器人账号,EOS 生态中存在虚假的繁荣。

在观察 EOS 交易量和 DAU 数据的时候,区块律动 BlockBeats 提出了这么一个疑问,为什么 EOS DAPP 用户人数那么多,但是实际上代币交易生态中却没有那么多人?以 NewDex 去中心化交易所为例,用户在玩完 DAPP 游戏之后会获得大量的游戏代币,游戏代币有两种获益途径,一种是持有分红,这是所有的博彩游戏都会加入的机制,另外一种就是到去中心化交易所进行交易,几乎所有的博彩游戏代币都会在 NewDex 进行交易。BetDice 的最高日活为 3.5 万 DAU,而去中心化交易所却只有 1500DAU,甚至不如前 10 中的任何一个博彩游戏。

这是否意味着 EOS DAPP 中存在 90% 以上的机器人刷量行为?带着这样的疑问,我们委托 PeckShield 安全团队对 EOS BetDice 的智能合约数据以及参与合约的用户数据进行了分析,结果发现:参与 EOS BetDice DAPP 的玩家中,其账号的创建者过于集中,有约 20000 个 EOS 账号由 10 个 EOS 账号创建(已去除 EOSIO 创世账号等账号生成工具)。

这 10 个账号创建的 20000 个二级账号,占了该游戏总智能合约交易账户数量的 57%。

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

而且即便是普通人玩游戏想获得邀请奖励,也不可能持有超过 10 个二级账号,我们将创建账号的范围扩大到任何二级账号数量超过 10 个的账号创建者,发现有 26098 个账号属于这个类型,即占该游戏智能合约交易账户数量的 74.5%*。据 PeckShield 的技术人员,这些账号参与最多的是 BetDice 的每日抽奖活动,而 DAPP Radar 网站则未把每日抽奖的智能合约 DAU 算在该 DAPP 的 DAU 中。

由此可知,BetDice 游戏实际上根本没有这么多人玩,其真实日活与 DAPP Radar 等网站筛除机器人、羊毛党之后的数据几乎一致,在 2000-3000 DAU 之间。同理,同类的具备分红和代币的博彩 DAPP,实际上玩家只有几百上千人,与之前的 EOS Pixel 类似,覆盖真实用户数量极少。另外这部分讨论还会在波场排行榜部分继续进行,请往下滑查看。

关于机器人和羊毛党从 BetDice 游戏撤出,可能与该游戏币挖矿成本上涨有关。在此之前 BetDice 游戏每次下注 1EOS,可以获得 6.25DICE 代币,如今只能获得 3.125DICE,对于这种变相挖矿的行为,相当于挖矿成本上升,最精明的矿工会在利润不足时撤出,剩下后来者填坑,游戏 DAU 锐减在所难免。

波场排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

 

波场 DAPP 目前被博彩占据,前 6 款有数据的 DAPP 有 5 款为博彩 DAPP,交易量和 DAU 占比数据中,博彩占绝对主流。但考虑到 EOS 博彩 DAPP 中存在大量的机器人和刷量行为,那么波场 DAPP 到底有多少真人在玩呢?

目前唯一的数据统计平台 DAPP Review 数据显示该游戏有 1526DAU。该游戏有邀请和分红机制,玩家 100% 会使用邀请链接来邀请自己的小号。而且波场网络中账号生成没有费用,资源使用也比 EOS 相对便宜,使原来 EOS 上刷量的账号创建和使用成本大幅度降低,也就是说波场博彩 DAPP 比 EOS 博彩 DAPP 更适合刷量。

而且最关键的是开发者已经看到了玩家的刷量需求,在他们的 DAPP 中也加入了方便机器人刷量的功能,TronBet 这款游戏内置了自动下注挖矿功能,只需要安装客户端版 Scatter 钱包,添加白名单之后就可以自动下注、自动挖矿。之后还会有钱包接入波场 DAPP,机器人刷量会更加简单。

这就意味着,波场 DAPP 虽然交易量惊人,但实际用户人数可能比 EOS 还要少。

观点讨论

在过去的两周内,EOS DAPP 生态内发生了多起智能合约遭到黑客攻击、资产损失的恶性安全事件。根据 PeckShield 安全团队的数据显示,EOS Cast、EOS FFGame、EOSDice、MyEosVegas、OneDex 交易所等智能合约均发生了安全事故。

上周 IMEOS 发布的 EOS 生态报告中列举了自 EOS 主网上线之后发生的 DAPP 安全问题。

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

其中 EOS Cast 发生「假 EOS 转账变种」攻击,开发团队损失 6.3 万 EOS;EOS FFGame 遭到「合约代码计算漏洞」攻击,盗走 1330 个 EOS;OneDex 交易所获取 3000 多个 EOS 账号的敏感权限,波及 100 万 EOS;EOS Dice 游戏本月连续两次遭到智能合约攻击,第一次损失 2545EOS,第二次损失 4633 个 EOS;MyEosVegas 游戏遭随机数缺陷漏洞攻击,损失 9000 多个 EOS。

*截至发稿前 EOS 游戏 EOS.WIN 又遭黑客攻击,损失 9180 个EOS。

这些安全事故让不少人开始担心 EOS 网络和智能合约的安全性问题,在游戏过程中也开始担心各种安全问题。对此,前 360 首席科学家、PeckShield 创始人兼 CEO 蒋旭宪教授表示,EOS DAPP 智能合约出现诸多安全问题,是 EOS 行业发展中必不可少的一步。「以太坊之前也有过类似的合约漏洞和随机数问题,EOS 从目前来看也不例外。」

蒋教授认为,「写出一个安全的智能合约,对于 EOS 开发者的专业素养有很高的要求。这涉及到开发者对 EOS 公链的理解程度、对编程语言的熟悉程度,以及对安全的重视程度等。」

对于 EOS DAPP 智能合约的安全问题,DAPP Review 创始人牛凤轩认为开发者不能因为有一个中心化的仲裁机构就可以肆无忌惮地不关心安全问题。

「简单来说,不能因为 EOS 区块链存在一个仲裁委员会就在合约安全性上肆无忌惮。开发者在看到 EOS DAPP 的赚钱效应后急功近利地火速开发 DAPP 然后赶紧推上线,结果因为没有考虑安全问题而被黑客攻破。早上线两天产生的收入可能不还不及黑客一次性盗走的多,得不偿失。」

「所以我们的建议是,DAPP 开发者应该在合约上线之前做好充足的测试以及找专业机构进行合约安全审计,万事俱备之后再上线。」

牛凤轩还举例了 EOS Laomao 团队的对于 EOS Cast 被盗事件的言论,认为此类黑客攻击导致合约失窃的案例越来越多,EOS 仲裁委员会是不可能针对每个被盗事件进行快速有效地仲裁的,甚至申请仲裁后可能会被 BP(超级节点)否决。

EOS Laomao 团队在 EOS Cast 被攻击后发表声明,称黑客盗窃事件在法理上并不属于 EOS 社区公约的保护范围。「项目方并没有按照社区公约的要求对项目代码进行开源,也没有加入李嘉图合约阐明合约的代码意图。此类行为不遵守社区公约规定,没有达到社区的基本要求,EOS BP 们也很难从社区公约的角度去保护这类被盗方的权益。」

区块律动 BlockBeats 认为开发者首先要认清目前 DAPP 市场的真实情况,不能因为表面数字看起来非常活跃、增速很快就认为这是一个非常有潜力的市场,要对 DAPP 的开发成本与预期收入有清楚的了解。

此外,在开发 DAPP 的时候,除了考虑市场需求之外,也要在安全性上把好关,不能为了快速上线捞一笔钱而弃安全不顾,这是对用户不负责任的表现。如果智能合约被黑客攻击,开发团队向 EOS 仲裁委员会申请帮助时有很高的几率会被 BP 们直接否决。

玩家在游玩 DAPP 的时候也要看清楚该团队是否已经将智能合约开源,是否有第二层的安全保障来保护自己的权益。

想赚钱情有可原,但别在赌场上摆了张新台子,结果没两天就被黑客把桌子都给掀了。

*统计中已经将账号名为 eosio、signupeoseos、1freeaccount、freegenerate、accountcreat、itokenpocket、meet1account、moretop11111、kkwalletfree 等账号生成工具或疑似账号生成工具的 ID 生成的账号排除。

生成图片
8
交易所(3011)区块链(9086)矿工(620)

相关文章

发表评论

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛

星期一 2018-11-12 19:34:37

本周的 DAPP 趋势榜单游戏类型并未发生大的变化,各个公链的属性并未改变。以太坊 DAPP 生态中收藏类游戏再次回归大众视线,去中心化交易所 DAU 和交易量虽有下降但仍是主流。EOS DAPP 中前期火热的博彩 DAPP 瞬间落榜,但很快又有新的博彩 DAPP 上位,EOS 骑士人数稳步上升。波场博彩 DAPP 较上周持平,未发生巨大变化。

在与 PeckShield 的合作中,我们发现 EOS BetDice 游戏存在 DAU 虚高问题,「大多数玩家」其实由 10 人控制。详情请移步 EOS 趋势榜部分查看。

本期我们将讨论近期发生的多期 EOS DAPP 智能合约安全漏洞问题,为什么只是玩个游戏而已,却有这么多问题?

以太坊排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

以太坊 DAPP 趋势与上周没有多少变化,新增了一款名为 FCK 的博彩 DAPP,0xUniverse 接着 0x 的名字登上前 10 榜单,实际上这是一款区块链收藏游戏。

以太坊 DAPP 的交易量较上周整体下滑了 20% 左右,交易额主要集中在去中心化交易所和博彩两类 DAPP 中,资金盘类 DAPP 正在淡出以太坊生态。

EOS 排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

EOS DAPP 趋势榜与上周没有发生实质性的变化,前 10 中有 8 个是博彩 DAPP,另外两个是 PRA 糖果盒和 EOS 骑士。但是之前在榜单上的 MyEosVegas、Chintia、EOSBet 等游戏已经跌出前 10,BetDice 也从第一名直落第 8 名,日活已经跌到不足 3000 DAU。

如果博彩游戏的用户数量是真的,那么用户是不会因为挖矿减少而不玩的,而在短短两天内 BetDice 从 32000 DAU 掉到 2700DAU,是否意味着其中有近 3 万刷量机器人,真实用户只有 2000 多人?EOS DAPP 的实际用户到底有多少?我们从 PeckShield 安全团队那里拿到了一组数据,数据显示,BetDice 中确实存在大量的羊毛党机器人账号,EOS 生态中存在虚假的繁荣。

在观察 EOS 交易量和 DAU 数据的时候,区块律动 BlockBeats 提出了这么一个疑问,为什么 EOS DAPP 用户人数那么多,但是实际上代币交易生态中却没有那么多人?以 NewDex 去中心化交易所为例,用户在玩完 DAPP 游戏之后会获得大量的游戏代币,游戏代币有两种获益途径,一种是持有分红,这是所有的博彩游戏都会加入的机制,另外一种就是到去中心化交易所进行交易,几乎所有的博彩游戏代币都会在 NewDex 进行交易。BetDice 的最高日活为 3.5 万 DAU,而去中心化交易所却只有 1500DAU,甚至不如前 10 中的任何一个博彩游戏。

这是否意味着 EOS DAPP 中存在 90% 以上的机器人刷量行为?带着这样的疑问,我们委托 PeckShield 安全团队对 EOS BetDice 的智能合约数据以及参与合约的用户数据进行了分析,结果发现:参与 EOS BetDice DAPP 的玩家中,其账号的创建者过于集中,有约 20000 个 EOS 账号由 10 个 EOS 账号创建(已去除 EOSIO 创世账号等账号生成工具)。

这 10 个账号创建的 20000 个二级账号,占了该游戏总智能合约交易账户数量的 57%。

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

而且即便是普通人玩游戏想获得邀请奖励,也不可能持有超过 10 个二级账号,我们将创建账号的范围扩大到任何二级账号数量超过 10 个的账号创建者,发现有 26098 个账号属于这个类型,即占该游戏智能合约交易账户数量的 74.5%*。据 PeckShield 的技术人员,这些账号参与最多的是 BetDice 的每日抽奖活动,而 DAPP Radar 网站则未把每日抽奖的智能合约 DAU 算在该 DAPP 的 DAU 中。

由此可知,BetDice 游戏实际上根本没有这么多人玩,其真实日活与 DAPP Radar 等网站筛除机器人、羊毛党之后的数据几乎一致,在 2000-3000 DAU 之间。同理,同类的具备分红和代币的博彩 DAPP,实际上玩家只有几百上千人,与之前的 EOS Pixel 类似,覆盖真实用户数量极少。另外这部分讨论还会在波场排行榜部分继续进行,请往下滑查看。

关于机器人和羊毛党从 BetDice 游戏撤出,可能与该游戏币挖矿成本上涨有关。在此之前 BetDice 游戏每次下注 1EOS,可以获得 6.25DICE 代币,如今只能获得 3.125DICE,对于这种变相挖矿的行为,相当于挖矿成本上升,最精明的矿工会在利润不足时撤出,剩下后来者填坑,游戏 DAU 锐减在所难免。

波场排行榜

 

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

 

 

波场 DAPP 目前被博彩占据,前 6 款有数据的 DAPP 有 5 款为博彩 DAPP,交易量和 DAU 占比数据中,博彩占绝对主流。但考虑到 EOS 博彩 DAPP 中存在大量的机器人和刷量行为,那么波场 DAPP 到底有多少真人在玩呢?

目前唯一的数据统计平台 DAPP Review 数据显示该游戏有 1526DAU。该游戏有邀请和分红机制,玩家 100% 会使用邀请链接来邀请自己的小号。而且波场网络中账号生成没有费用,资源使用也比 EOS 相对便宜,使原来 EOS 上刷量的账号创建和使用成本大幅度降低,也就是说波场博彩 DAPP 比 EOS 博彩 DAPP 更适合刷量。

而且最关键的是开发者已经看到了玩家的刷量需求,在他们的 DAPP 中也加入了方便机器人刷量的功能,TronBet 这款游戏内置了自动下注挖矿功能,只需要安装客户端版 Scatter 钱包,添加白名单之后就可以自动下注、自动挖矿。之后还会有钱包接入波场 DAPP,机器人刷量会更加简单。

这就意味着,波场 DAPP 虽然交易量惊人,但实际用户人数可能比 EOS 还要少。

观点讨论

在过去的两周内,EOS DAPP 生态内发生了多起智能合约遭到黑客攻击、资产损失的恶性安全事件。根据 PeckShield 安全团队的数据显示,EOS Cast、EOS FFGame、EOSDice、MyEosVegas、OneDex 交易所等智能合约均发生了安全事故。

上周 IMEOS 发布的 EOS 生态报告中列举了自 EOS 主网上线之后发生的 DAPP 安全问题。

DAPP趋势榜:这10个人创建了2万个账号来薅羊毛 

其中 EOS Cast 发生「假 EOS 转账变种」攻击,开发团队损失 6.3 万 EOS;EOS FFGame 遭到「合约代码计算漏洞」攻击,盗走 1330 个 EOS;OneDex 交易所获取 3000 多个 EOS 账号的敏感权限,波及 100 万 EOS;EOS Dice 游戏本月连续两次遭到智能合约攻击,第一次损失 2545EOS,第二次损失 4633 个 EOS;MyEosVegas 游戏遭随机数缺陷漏洞攻击,损失 9000 多个 EOS。

*截至发稿前 EOS 游戏 EOS.WIN 又遭黑客攻击,损失 9180 个EOS。

这些安全事故让不少人开始担心 EOS 网络和智能合约的安全性问题,在游戏过程中也开始担心各种安全问题。对此,前 360 首席科学家、PeckShield 创始人兼 CEO 蒋旭宪教授表示,EOS DAPP 智能合约出现诸多安全问题,是 EOS 行业发展中必不可少的一步。「以太坊之前也有过类似的合约漏洞和随机数问题,EOS 从目前来看也不例外。」

蒋教授认为,「写出一个安全的智能合约,对于 EOS 开发者的专业素养有很高的要求。这涉及到开发者对 EOS 公链的理解程度、对编程语言的熟悉程度,以及对安全的重视程度等。」

对于 EOS DAPP 智能合约的安全问题,DAPP Review 创始人牛凤轩认为开发者不能因为有一个中心化的仲裁机构就可以肆无忌惮地不关心安全问题。

「简单来说,不能因为 EOS 区块链存在一个仲裁委员会就在合约安全性上肆无忌惮。开发者在看到 EOS DAPP 的赚钱效应后急功近利地火速开发 DAPP 然后赶紧推上线,结果因为没有考虑安全问题而被黑客攻破。早上线两天产生的收入可能不还不及黑客一次性盗走的多,得不偿失。」

「所以我们的建议是,DAPP 开发者应该在合约上线之前做好充足的测试以及找专业机构进行合约安全审计,万事俱备之后再上线。」

牛凤轩还举例了 EOS Laomao 团队的对于 EOS Cast 被盗事件的言论,认为此类黑客攻击导致合约失窃的案例越来越多,EOS 仲裁委员会是不可能针对每个被盗事件进行快速有效地仲裁的,甚至申请仲裁后可能会被 BP(超级节点)否决。

EOS Laomao 团队在 EOS Cast 被攻击后发表声明,称黑客盗窃事件在法理上并不属于 EOS 社区公约的保护范围。「项目方并没有按照社区公约的要求对项目代码进行开源,也没有加入李嘉图合约阐明合约的代码意图。此类行为不遵守社区公约规定,没有达到社区的基本要求,EOS BP 们也很难从社区公约的角度去保护这类被盗方的权益。」

区块律动 BlockBeats 认为开发者首先要认清目前 DAPP 市场的真实情况,不能因为表面数字看起来非常活跃、增速很快就认为这是一个非常有潜力的市场,要对 DAPP 的开发成本与预期收入有清楚的了解。

此外,在开发 DAPP 的时候,除了考虑市场需求之外,也要在安全性上把好关,不能为了快速上线捞一笔钱而弃安全不顾,这是对用户不负责任的表现。如果智能合约被黑客攻击,开发团队向 EOS 仲裁委员会申请帮助时有很高的几率会被 BP 们直接否决。

玩家在游玩 DAPP 的时候也要看清楚该团队是否已经将智能合约开源,是否有第二层的安全保障来保护自己的权益。

想赚钱情有可原,但别在赌场上摆了张新台子,结果没两天就被黑客把桌子都给掀了。

*统计中已经将账号名为 eosio、signupeoseos、1freeaccount、freegenerate、accountcreat、itokenpocket、meet1account、moretop11111、kkwalletfree 等账号生成工具或疑似账号生成工具的 ID 生成的账号排除。