专家点评
电子科技大学教授陈厅阅读了本文后表示,“EOS作为第三代区块链的代表,其交易速度相较于第二代区块链以太坊和第一代区块链比特币有了显著的提升,成为了分布式应用较为理想的平台。蚂蚁安全实验室这篇分享从三个方面对EOS区块链进行了详细的分析。
这篇分享首先是统计了EOS上分布式应用的类型,发现超过一半的EOS分布式应用为菠菜类型,揭示了EOS应用生态差异化低的问题。
第二,这篇分享介绍了EOS和以太坊在智能合约方面的一些区别。
第三,这篇分享详细分析了EOS常见的几种合约漏洞,并对这些漏洞进行了攻击复现,分享还给出了漏洞代码和攻击代码。通过阅读本篇文章,不仅对EOS智能合约编写和维护者,还是对深入EOS智能合约执行机制的学者及技术爱好者,都能收获匪浅。”
引言
EOS在诞生之初的新闻报道里,被视为区块链3.0的代表。EOS的交易处理速度据称能够达到每秒百万量级,与其相比,以太坊每秒20多笔,比特币每秒7笔的处理速度实在是捉襟见肘。
据年10月DappRadar数据显示,排名前10的EOSDAPP中有6个属于博彩游戏,在所有的EOSDapp中,博彩类游戏24小时交易量占比达到84%以上。EOS玩家戏称博彩应用为菠菜应用。
年4月,我们又统计了Dappradar列出的前个EOSDapp,其中菠菜类应用个,占比超过总数的一半。时至今日菠菜应用仍然占据EOS的半壁江山,我们姑且称此篇系列文章为:菠菜应用篇。
EOS公链上线初期,菠菜类应用火爆吸引了大量资金,但是项目合约代码安全性薄弱,成为攻击的重灾区。据安全厂商统计,EOS上线第一年共发生超60起典型攻击事件,1-4月为集中爆发期,占全年攻击事件的67%,主要原因为EOS公链上菠菜类应用的持续火爆,加之项目合约代码安全性薄弱,导致黑客在多个DApp上就同一个漏洞进行连续攻击,手法主要以交易阻塞、回滚交易攻击,假EOS攻击,随机数破解等。本文对每一种攻击手段都做了复现。
此外,本文系统的梳理了其他类型的漏洞,并按照相关度的高低排列顺序,方便读者感受到漏洞之间的递进关系。
背景介绍
●什么是EOS●
EOS全称叫做“EnterpriseOperationSystem”,中文翻译是“企业操作系统”,是为企业级分布式应用设计的一款区块链操作系统。相比于比特币、以太坊平台性能低、开发难度大以及手续费高等问题,EOS拥有高性能处理能力、易于开发以及用户免费等优势,能极大的满足企业级的应用需求,诞生之初曾被誉为继比特币、以太坊之后区块链3.0技术。
为什么EOS性能高?这要得益于他的共识算法的设计。想知道他的共识算法?欢迎