【一五一十】怕遇到EOS狼人杀?试试EOSpark的源码验证功能
虽然EOS狼人杀的事件过去了多天,但是,到现在为止并没有得到良好的解决方案。除了 EOS 用户自己要谨慎参与这类活动之外,对于智能合约开发团队,也需要从中吸取教训, 智能合约尽可能保持开源,并且经过代码安全审计,且团队公开负责,具备足够的EOS开发能力,才能够尽量减少EOS狼人杀此类事件的发生概率。
而蓄意作恶的团队,不论是谁,都需要得到追责和曝光。不客气的说,现在EOS的21个出块节点,在解决这件事情上的做法,并不合格,没有担负起自己的责任。
EOS启动至今,治理结构上面仍然存在多重问题,而BP和仲裁论坛的职责范围何在,也没有得到清晰的界定。如何在去中心化的生态之中,实现良治,权力越大,责任越大。我希望BP能够站出来协商制订好相应的解决方案,如何在未来预防此类事情的发生,既表现出自己应有的担当,也给予 EOS 社区中的受侵害者一个交代。
本文回顾一下EOS狼人杀事件,并且介绍EOSPark团队在此次事件之后,所推出的在线合约验证功能,供感兴趣的同学查看。
EOS狼人杀游戏事件
币乎作者jc19917月下旬发表了数篇文章,警告: EOS Fomo3D你千万别玩! 其中一篇【EOS Fomo3D你千万别玩】狼人杀遭到溢出攻击, 已经凉凉, 提到了这个游戏的多个问题:错误的设定和使用eos权限,犯下低级的权限错误,“在代码中,对用户账号更新了权限”。
相关的文章,请参看: 【捭阖命物eos】狼人游戏中需要的code权限真的安全吗,以及被埋在资金盘里的我正在思考什么。
还有一位币乎的实力作者 oldcat 的一篇文章,也是从源代码角度去解读狼人杀游戏的漏洞,非常推荐各位关注:
eos源码赏析(十一):EOS之从“狼人游戏”看智能合约调用及权限分配(上)
并且,EOS狼人杀这游戏因为代码的错误,遭遇了溢出攻击。
至于团队到底是何方神圣,我在币乎见到了多篇文章搜罗证据指陈,列出来供参考:
PandaSEE的 https://bihu.com/article/1022704
EOS清道夫的 https://bihu.com/article/1019232
是非对错,还请各位读者自行根据现有的信息判断。如果HelloEOS跟IMEOS团队的朋友见到上面的两篇文章之后,有所反驳,请联系我,如果证实我错,我会专文向你们道歉。
同时,我们也看到有更多的社区成员行动起来,为未来避免此类事件再次发生,撰写文章披露真相,或者开发工具协助EOS 生态的发展。本文介绍的EOSPark团队推出的智能合约源代码验证功能,就是其中的例子。
得知EOSPark.com推出了EOS智能合约源代码上传验证的功能后,我这几天一直想写一下介绍给各位读者,但是无奈时间不足。
今天向EOSPark团队申请了一下授权转载他们的介绍文章,原文请见:EOSpark.com推出EOS合约源代码验证功能
感谢EOSPark(http://eospark.com) 团队的努力。
全文如下:
背景
最近FOMO3D非常火爆,有团队就把这个以太坊上的游戏移植到了EOS上,然而最近该游戏暴出漏洞,被个别玩家利用溢出攻击获取了6w多个EOS,详情见这里
我们之所以去参与区块链游戏,是因为在区块链的世界里,代码就是规则、法律和约束。而规划、法律和约束应该是人人可见,人人可以知晓。即,智能合约的源代码应该做到公开。前面的EOS游戏中,用户损失6w多个EOS,其中重要的原因就在于,玩家不能查看游戏的源代码,无法检查游戏中是否存在恶意漏洞。
因此,EOSPark第一时间推出了EOS合约源代码验证功能。该功能包括:
- 用户可以查看一个合约的源代码
- 项目方可以自行上传源代码进行在线验证
- 合约异常告知
用户查看合约源代码
目前已有不少项目方公开其智能合约的源代码。
合约:eosiomeetone
合约地址:https://eospark.com/MainNet/contract/eosiomeetone
image.png
合约:gameworldcom
合约地址:https://eospark.com/MainNet/contract/gameworldcom
image.png
上传源代码
如果一个智能合约没有公开其源代码,用户可要求项目方到EOSpark上传源代码。如果项目方拒绝上传,则应该谨慎使用该合约。如果项目方上传错误的源代码,将不会得到EOSpark的验证。
image.png
合约异常告知
image.png
由于EOS的智能合约可以重新部署,若项目方上传源代码并通过验证之后又重新部署了合约,这意味着使用该合约可能存在的风险。对于此类情况,EOSpark会给出异常提醒,且项目方可以重新上传对应的源代码。
区块链世界的信任建立在公开透明的基础之上,合约的安全关乎的用户的资产安全。因此,合约源代码公开是项目方应尽的职责,也是对用户负责的表现。EOSpark推出合约代码验证功能,旨在协助项目方为用户提供一个安全可信的区块链应用世界,为保护用户资产安全尽一份力量。
EOSPark团队也在币乎社区,还希望各位读者给予这个低调做事的团队以关注和鼓励,他们的原文请见:EOSpark.com推出EOS合约源代码验证功能
另外,在EOSPark推出了该功能之后,EOSEco团队也有跟进,也增加了源代码检验的功能。
期待更多的团队加入进来,为EOS社区的进化贡献力量。
