作者:上手區塊鏈 區塊傭兵
與幣乎類似,幣車作為內容社羣,其去中心化運營也類似幣乎,透過通證來激勵社羣進行去中心運營。但在技術分析上,由於其平臺是中心化產品,因此整體程式碼並沒有開源可查,所以對於產品的技術分析,我們只能從使用者真實體驗進行鑑定。
通證HIT安全性
前HIT作為幣乎的唯一通證,是一種發行在以太坊上ERC-20的代幣,智慧合約地址為:0x6596653478Adc7c54D706c73a490a9ac2B141197
智慧合約地址來自要發車官網,接受全體使用者的查詢和監督。
截圖來自:https://www.yaofache.com/?yfc-link=biche
時間:2018年12月12日
在Ethscan查詢該合約地址:
截圖來自:https://etherscan.io/address/0x6596653478adc7c54d706c73a490a9ac2b141197#code
時間:2018年12月12日
可以看到該合約發行的通證是HIT,而合約也是做到了開源透明,但距離上一次轉賬的時間竟然是149天前,而創辦的時間則是230天左右。說明這個智慧合約並沒有進行有效的執行和分配,只是作為啟動的形式而已,告訴大家幣車平臺確實發行了HIT通證而已。
由於HIT通證是在以太坊上發行的,其安全性是由以太坊確保的。太坊的智慧合約模式已經執行多年,安全性經得起考驗,能獲得大眾的信任認可,因此此處評分則是中規中矩的評分。
通證HIT的運營狀況
在查閱合約情況時,我們需要了解合約目前是否依據白皮書的通證設計進行履約,因此我們直接點開檢視HIT通證的地址,可以看到HIT合約註冊的企業地址是「要發車」媒體:
截圖來自:https://etherscan.io/address/0x6596653478adc7c54d706c73a490a9ac2b141197#code
時間:2018年12月12日
HIT通證發行900億,與白皮書所述一致,檢視其持倉的地址,發現有6個,其中持倉最大的地址達到99.8%,其餘基本是非常小的:
截圖來自:https://etherscan.io/address/0x6596653478adc7c54d706c73a490a9ac2b141197#code
時間:2018年12月12日
再檢視HIT通證的轉賬時間,可以看到HIT通證的轉賬分配還停留在171天之前,說明利用合約進行釋放運營的HIT通證根本就沒有進行。
截圖來自:https://etherscan.io/address/0x6596653478adc7c54d706c73a490a9ac2b141197#code
時間:2018年12月12日
而白皮書對其通證有4部分的劃分,說明99.8%持倉的通證對應的是900億的HIT通證,完全沒有按照白皮書的計劃,將代幣進行合理的投資、激勵運營等行為,只是一個虛設:
截圖來自:https://etherscan.io/address/0x6596653478adc7c54d706c73a490a9ac2b141197#code
時間:2018年12月12日
作為一個內容平臺,HIT通證的40%是拿來進行運營激勵的,也就是腦力挖礦,但是智慧合約的釋放來看,HIT通證完全沒有設計好透明的挖礦分配機制,並結合智慧合約進行釋放激勵。這反映,平臺根本就沒有把通證模型做好。
反觀使用者的客戶端,我們檢視了一個作者因為參與生態,進行寫作、點評、點贊等貢獻後獲得一定量的HIT代幣,但這部分代幣並沒有提供「提幣地址」:
截圖來自:幣車客戶端
時間:2018年12月12日
這說明HIT只是設定了一個智慧合約,並寫明發行總量。但是在客戶端流轉的HIT,其實只是一個鏈下設計的系統積分,完全沒透過智慧合約執行,按照每天的釋放總量為使用者在鏈上釋放作者的收益。由於系統流轉的HIT是鏈下產物,沒有做到鏈上釋放和結算,所以安全性與通明性未得到合理的保證,此部分說明團隊並未做出合理的通證模型,作者的收益未能得到保障,此部分評測給出0分。
3.客戶端一致性:頁面一致,功能缺失
幣車作為一款網頁端和移動端都具備的產品,在兩個客戶端上提供著閱讀和寫作的服務。因此,對於使用者體驗而言,兩個客戶端的一致性是非常重要的。
截圖來自:安卓微信客戶端
時間:2018年12月12日
測試方式:開啟網頁後,顯示網頁提供方即為HTML5開發。
由上圖可知,為了使兩個客戶端保持一致,幣車採用的是主流的HTML5開發方式對產品進行開發的。使用HTML5開發能增加網頁在PC端和移動端的使用者體驗性。
但是在體驗過程中,發現作為一款兩個客戶端具備的產品,其注重移動端產品的開發,但在PC端卻功能缺失。開啟網頁端,筆者發現在網頁端,無法進行點贊、分享、評論等操作:
截圖來自:幣車網頁端
時間:2018年12月12日
說明幣車是一款只注重移動端開發功能,但在網頁端只提供閱讀功能的產品,這會使使用者體驗不完備。
4.平臺安全效能:中規中矩,缺乏程式碼隱匿性
作為一款通證型產品,機器人行為容易對生態造成傷害,如何防範機器人是一個需要時刻防備的問題。在針對幣車網頁端進行安全評測時,筆者閱讀了前端程式碼,試圖建立機器人程式。
截圖來自:谷歌瀏覽器開發者工具
時間:2018年12月12日
發現網頁有采取合理的驗證碼、實名認證等保護措施,說明有進行合理的安全防範。但是對程式碼分析後,筆者發現前端程式碼使用的變數大多具備物理含義,這會讓撰寫機器人程式的技術者很容易推敲出邏輯關係,從而發起合理的機器人攻擊。
目前HIT通證由於還未上交易所流通,所以還未面臨機器人薅羊毛的壓力。但是一旦流通起來,因為利益進行漏洞攻擊的人必然不在少數,因此如此「明義」的程式碼,是很容易受到攻擊的,需要專案方進行必要的語義混淆、變數隱匿等手段來提升平臺安全性。
總結
從技術上來說,目前幣車在內容運營方面,已經具備了較完整的功能,並在移動端獲得實現和體驗,HIT通證依託以太坊平臺得到了安全不被篡改的特性,但是風險仍然明視訊記憶體在:
(1)智慧合約是虛設,未做到根據運營激勵約定進行鏈上釋放和清算。
(2)網頁端功能缺乏,使網頁端體驗相對較差。
(3)程式碼隱匿性較差,使得未來存在因為利益問題遭遇到機器人的合理攻擊的可能性。