EOS给智能合约留后门，DApp开发者可随意访问用户钱包

某EOS DApp因为搞砸了一次空投而遭到了社区的围攻。Trybe因为不小心给用户发了太多的代币，居然在并未提前告知的情况下进入用户钱包撤回了交易。

Trybe开发者在空投过程中操作失误，给其中100多个EOS账户发了比原定资金多出了4倍的币。某游戏开发者在社交媒体上公开了他的EOS账户记录，他发现自己的账户里出现了大量的TRYBE代币。

上图显示的代码就证明了Trybe开发者进入了这个账户。开发者在没有获得授权的前提下取回了错发的加密货币——8740TRYBE（约60美元）。有些用户甚至根本不知情。

事实上，EOS智能合约开发者可以任意修改合约，这是一种故意的设计。开发者通常会将其视为EOS区块链的重要功能，与其它竞争者完全不同。

相比之下，以太坊的智能合约就是不可篡改的，要想修复智能合约的错误，以太坊DApp开发者必须进行硬分叉。而EOS智能合约是可篡改的。

所有部署在EOS区块链上的智能合约在发布之后都可以在不预先通知的情况下，随时被编辑、更新并且更改。

用户只能通过自己审查代码来防止智能合约的恶意更新。

Trybe开发团队在Reddit上承认冻结了所有代币活动，进入了用户钱包并且取回了多余的资金。

其创始人Tom Norwood表示：

完全依赖EOS代码库来运作我们的平台或许是我们疏忽了，但这并不是我们的错。你们也知道，这是一个全新的软件，没有曝出更多bug就已经是一个奇迹了。

当事情没有按照原定计划进行时，EOS（和大多数区块链不同）的确会提供额外的选项。所以说，如果你想攻击我们或者攻击EOS，那就随你的便吧。我们认为自己的决定是正确的，宁愿撤回交易，也不会把大量的资金留在少数人的钱包里……顺便提一下，这个功能不仅仅对TRYBE代币有效，对EOS上面的所有代币都是有效的，而且我对这个功能很满意……

同样的情况曾经多次发生在EOS区块链上。BP也曾冻结过一些EOS账户。最值得注意的是，曾有7个EOS钱包被非法侵入，目的是为了取回所谓被盗的资金。

Trybe首席开发者Nathan Rempel近期提出了自治社区（DAOs）的想法，即将决定权交给利益相关者。Rempel认为这样能够帮助用户信任EOS DApp。

这样是否会导致中心化的控制权？是的。那么中心化的控制是坏事吗？不总是。对可篡改的东西进行去中心化的控制将会成为信任可篡改性的关键。当整个社区都能参与决策的过程，他们就会信任这些决策。

听起来好像很美好，但我们还没有忘记DAOs有多糟糕。

Rempel的观点引发了对去中心化的探讨。只有部署不可篡改的智能合约才能离去中心化更近一步。智能合约在发布之后就不能被任意修改，这样才能确保没有人有权直接左右一种加密货币。

事实上，以太坊就是为了尊重这种不可更改性，才会出现价值数百万美元的以太坊被冻结在Parity钱包的情况。

也就是说，至少对以太坊来说，去中心化的决策过程比冻结在网络空间中的几百万美元更有价值。而对Trybe来说，去中心化大概只值60美元。