追踪 | EDU漏洞事件:一亿空投能否成为疗伤良药?
昨日,EDU官方终于发出公告,空投一亿token安抚因为24日智能合约漏洞损失惨重的投资者:
事件仿佛暂时告一段落,接下来将是漫长未知的恢复期,能否恢复初期的风光就需要看团队的后续经营能力了。
梳理漏洞原因和事件进展的分析文已经不胜枚举,但是难免有些马后炮的味道。
而笔者经过深入的分析查证后认为,EDU合约漏洞事件的发生并非偶然,深层原因不单单是少写一串代码,而这些在项目初期架构时已有端倪。
问题一
EDU/EKT/LEDU or EDUchain?
教育链四姐妹傻傻分不清楚
笔者搜索EDU,首先进入的是这个页面 ⤵
继续搜索,跳出了这个⤵
最终费劲一番波折,才终于进入了本次事件的主角币官网 ⤵
如今,市面上流通着四种EDU区块链项目:
1. Educoin,即智能合约事件“正主”教育币,现在火币网交易
2. EKT,同样致力于教育行业,又名EKT通用积分
3. LEDU,与EDU类似,同样主打线上教学项目
4.Educhain,教育链鼻祖
项目从诞生伊始就已经背负了容易被混淆的劣势,但是教育链的态度却并不喜人:
面对同领域的激烈竞争,EDU却无视事实,妄称项目是教育领域的“蓝海”,这不单单暴露出其对于市场调研的不全面,甚至有欺骗投资者的嫌疑。
问题二
基础不牢 系统结构缺失,应用场景犹待完善
本次EDU事件的缘起在于其以太坊智能合约的漏洞——EDU 智能合约中存在一个transferFrom 函数,该函数缺少 Safemath 验证,可以让攻击者从任何一个 EDU 余额不为 0 的账号内向另外一个账号转出 EDU Token,也可以理解为可以从智能合约里偷币。EDU的技术实力和系统构架自然成为了本次考察的重中之重。
然而随着探究的深入,笔者发现项目的基础架构,尤其是系统结构设计确实问题多多。
通常情况下,一个标准的区块链系统分为5-6层,其中,数据层、网络层和共识层为必备元素,三者缺一不可;激励层、合约层和应用层也同样是重要的组成部分,开发得力将是项目顺利落地并脱颖而出的必要加分项。
EDU项目将平台主要分为网络层、合约层和内容层。从白皮书上可知,内容层并非EDU的独创,而仅仅是融合了网络层和激励层的产物,进一步阐释了系统内部如何保持各用户节点的积极性。
然而,思路的新颖却依然掩饰不了基础内容的缺失:数据层方面,包括白皮书在内的所有项目资料中,对于教育链的定位都是使用以太坊智能合约的“基于区块链技术的在线教育平台”。项目本身是独立公链还是基于以太坊发行的应用平台,在所有官方资料中均未阐释。
而更重要的问题出现在共识层。作为EDU系统架构的三大分层之一,白皮书中对于共识层描述如下:“EDU是使用以太坊智能合约的分布式账本,通过接入以太坊网络,用户就可以付费下载实时更新的教学资料。系统中用于支付教材的是EDU教育币,这也是项目区别于其他现存网络教育课程的特点。”。
稍有币圈基础知识的读者就不难分辨出,此“共识”非彼“共识”,文中只是对于合约层的粗糙带过,教育链是采用POS,POW抑或PBFT?决定生态系统治理规则的共识机制只字未提。
另一个问题出在代币经济模型上。
项目对于代币应用场景的描述如下:
EduCoin 平台生态系统由消费者、提供者、传播者、支持者共同组成。教学内容提供者对自己所提供的内容和服务进行定价,消费者根据提供者定义的基础消费金额,获取教育内容或者教育服务。消费的 EDU 等于对内容和服务质量动态的“投票”;传播者通过在平台上转发和分享关于教育内容和服务提供者的相关地址,来吸引更多的消费者,获得 EDU 奖励。同时主动做大数据分析(区块链账本数据),把相关可能吸引消费者的内容放在一起,做好一个推荐系统;贡献者包括内容、技术、服务、信用评级的第三方提供商,可以用 EDU对自己的产品和服务定价,并获得相应代币佣金。
EDU的代币经济模型初看新颖简洁,但是推敲后却疑雾重重:一方面,传播者的职责内容难以落实,区块链账本本质是对于交易的记录打包,即著名的竞争挖矿,这并非传播者职责所在,与大数据分析的联系在别的项目中也没有先例。那么在技术层面如何实现呢?项目方未曾提及;另一方面,贡献者的定位和职责都相当含糊,为什么贡献者会和提供者一样推出课程产品?其评级根据是什么?定价根据哪些标准?
EDU代币作为平台流通币种,其应用场景因为各方职责的模糊而显得不够明晰,让人不禁质疑教育链生态系统能否顺畅地激励各节点产出、推广和消费。
问题三
团队资料缺失,研发实力成谜
除了系统架构本身,团队背景也是分析技术实力的一个重要维度。然而除了PR宣传时的出镜曝光,官方从未披露研发团队成员的学历背景、工作经验、技术成果等方面的任何资料,每当粉丝追问相关信息,电报群工作人员仅仅是重复性地回复:“团队成员不会辜负投资者”,“团队在加紧研发过程中”,越来越多的投资者对于团队实力提出质疑。
除却缺陷与疑点,项目方的危机公关态度倒是可圈可点:合约漏洞事件发生后,项目方于次日就申请第三方安全审计公司-慢雾科技(SlowMist)进行安全审核,并于48小时内恢复了token交易,并推出了初步的感恩回馈计划。
但是相比于危机后的积极弥补,防患于未然依然是上上策。在博鳌闹剧(参考本号上篇文章)刚刚落幕的多事之秋,只有越来越多的区块链项目能够脚踏实地投身于项目研发,才能够让区块链项目切实落地,成为可持续的优质投资选项。
更多一手信息请关注Aaron@区块链财经分析(微信号:Aaron_qzc)
- 免责声明
- 世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
- 风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
- 世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。