EOS要求用户购买“RAM”来部署智能合约并运行分散式应用程序(dApps)

现在，EOS社区再次寻找解决方案，开发人员已经确定了一个智能合约错误，允许恶意合同作者有效地消耗其他用户拥有的网络资源。

 
EOS智能合约利用消耗RAM
为了减少垃圾邮件，EOS要求用户购买稀缺的网络资源“RAM”来部署智能合约并运行分散式应用程序(dApps)。
最近，开发人员发现攻击者可以创建利用脚本语言通知功能的恶意智能合约，这允许一份合同通知其他合同特定事件(例如传入令牌传输)。恶意合同使用该功能用“垃圾”数据填充其他用户的RAM，永久冻结RAM并防止受害者将其用于有效目的或将其出售回网络。
该漏洞可能会影响普通用户和某些智能合约，但重要的是，如果他们将令牌转移到恶意合同中，他们只会面临风险。
开发人员搜索解决方案
EOS价格RAM
虽然利用漏洞无法窃取用户资金，但它可以永久锁定RAM，必须使用EOS令牌购买。
EOS创始人Block.one和加密货币首席架构师CTO Dan Larimer在媒体上讨论了这个问题，认为它应该被描述为滥用有效特征 – 他称之为“故意破坏” – 而不是一个错误。
他说，因为利用“利用了用户的意图与代码的实际效果之间的不匹配”，网络的块生产者有权根据EOS构成将恶意合同列入黑名单，同时受影响的用户将其排除在外通过网络仲裁程序与合同作者发生争执。正如他过去所说的那样，“代码意图就是法律。”他还指出，当交易可能消耗RAM时，许多EOS钱包会警告用户。
Larimer进一步提出了一种块生成器协议升级，如果所有活动块生成器都采用该升级，则会阻止动作通知的接收者意外消耗发送者的RAM。
代理令牌
与此同时，一个名为EOSEssentials的开发团队为担心丢失库存RAM的用户创建了一个有效的，虽然稍微复杂的解决方法。
正如该组的GitHub所解释的那样，EOS用户可以通过不拥有RAM的代理帐户发送令牌，防止恶意合同从用户的实际帐户中消耗RAM。该帐户“safetransfer”被编码为自动将收到的令牌转移到任何帐户名称，作为交易备忘录行中的第一个单词。
例如，如果我想向Block.one发送一些令牌(他们手头只有1亿个EOS，他们可能会使用更多)，我会直接发送到“safetransfer”然后写“b1”(该公司的)帐户名称)作为备忘录行中的第一个单词。备忘录可能看起来像这样：
“b1这是一些令牌;希望他们帮忙!“
此代理方法也与其他令牌类型兼容，但需要一些手动配置。
此外，开发人员表示，用户在与dApp交互时不应尝试代理令牌方法，因为应用程序将表现为与代理合同进行交互 – 而不是实际用户。然而，这不太可能是一个问题，因为几乎没有人正在使用EOS dApp(或者Ethereum dApps)。