小韭菜 12月7日

newdex,一家假冒的EOS去中心化交易所

最近看到为Newdex写征文的作者比较多,并且在EOS生态上Newdex是目前交易量最大的交易所Dapp(DappReview排名第九)


截图来自:Dappreview
时间:2018年12月6日

本着对「去中心化交易所」的兴趣,我开始研究起了Newdex交易所。研究后才发现:即使Newdex发展至今,已经是EOS生态上交易量最大的交易所,但依然存在着跑路风险,因为它根本就不是「去中心化交易所」!

今天我就来给你揭底一下Newdex。

Newdex身上一直有个神圣的标签:全球首家EOS去中心化交易所。这个在官网上可以浏览到:Newdex官网


我也一直在用meetone的钱包进入newdex,对空投的代币进行交易,毕竟在交易深度上,newdex确实是比较大的。但是在交易过程中,对newdex的「去中心化交易所」没去仔细探究过。这几天的探究后就让我瞬间明白这个newdex葫芦里卖的是什么药。

在讲述newdex是个假的「去中心化交易所」之前,我觉得有必要介绍一下中心化交易所与去中心化交易所的区别。

中心化交易所


传统的中心化交易所就在在交易所进行一定认证开户后,会为你对应的代币分配地址,但是这个地址是只会把地址开放给用户,却不会把私钥给用户。所以往这个地址充值资产,用户是没有办法要回的,因为你没有私钥。中心化交易所如火币、币安、Okex等,其实都是以自身企业的信用背书作为担保,以保证其不会发生携款跑路或者挪动用户未交易资产。但是,再大的中心化交易所都可能发生作恶或者被攻击盗币行为的,例如当年的门头沟事件、前段时间大交易所挪用EOS代币为自己投票等等。

这种交易所与现在的股市交易所实际是类似的,所以不能有绝对安全和透明一说。如果要去,还是希望大家去大交易所交易。

去中心化交易所


去中心化交易所则不再需要你依赖交易所的企业信用背书了。在去中心化交易所中,交易双方资产都存储在双方各自的账户里面然后当彼此的订单撮合达成时,卖方调用去中心化交易所的「智能合约地址」,由「智能合约」完成买卖双方的币币交易,并返还给买卖双方。

在整个交易过程前后,资产都存储在用户钱包,而无需用户充值到交易所中。只有买卖双方达成时,交易的币币在通过智能合约进行交换。因此,买卖双方无需第三方担保,安全性能则有智能合约来确保即可。而智能合约是开源的,并且交易全流程是在区块链上公开可见的,并且经过安全审计公司审核的。

所以,对于去中心化交易所而言,开源的「智能合约」是必不可少的,它是完成双方交易的中间人。

然而在Newdex上有两个疑点值得关注:

疑点一:Newdex的充值地址不是智能合约地址

判断一个去中心化交易所的交易情况,我们完全可以通过其公开的智能合约地址进行查询每日的成交量等。

因此,笔者计划在newdex上交易一笔空投的Wecash代币时:


这时候,我发现我的代币充值地址为:newdexpocket。如果newdex是一个正儿八经的去中心化交易所,那么这个地址肯定是智能合约地址。因此我去eospark.com(一个EOS生态信息网,可点击跳转)查询充值地址。


截图来自:eospark.com
时间:2018年12月6日

不查不知道,一查吓一跳。newdexpocket竟然是一个个人eos账户和你我钱包里面的eos账户并无区别。更可怕的是,现在可用的eos代币余额为9万余枚,现价大概价值150万人民币;其余持有代币137种,大概价值367万人民币;大概合计517万人民币。

也就是说,在newdex的这个「个人账户」里面躺着517万元,项目方随时都可以将这些价值币转移到一个无人可知的账户,然后兑现跑路。

当然,我质疑过自己,这个账户是不是弄错了,只是一个暂时的替代地址。后来,我上官网核对了newdex自己公布的所谓「合约地址」。在这份公布的「去中心化交易所」的「合约地址」中,除了newdex外,同时还发现了AKDEX项目方使用的也是「个人」EOS账户地址。


截图来自:Newdex写给EOS DAPP开发者的一封信
时间:2018年12月6日

至于如何判断一个地址是「个人」地址还是「智能合约地址」,我可以以newdex和whaleex(鲸交所)为例,大家也可以自行操作判断。

判断方法:

第一步:上eospark.com,并在输入框输入你想核实的地址。


第二步:根据查询的地址,eospark.com会给出不一样的标识:


首先,输入账号时,信息提示栏就会提醒你你输入的是合约还是个人账号

如果是智能合约地址,

智能合约地址代表:whaleextrust(鲸交所)

截图来自:eospark.com
时间:2018年12月6日

你会得到一张如上的查询返回图。在这个地址里面,有一个合约详情。你可以看到这个合约的统计情况和安全情况。比如24h的用户数、是否做了一致性校验和安全审计这里要表扬一下鲸交所,因为你去查询很多合约,你会发现很多项目方都没做安全审计就上线。这可能也存在一定安全隐患。
往下来拉,你可以看到这个合约的成交状况。


截图来自:eospark.com
时间:2018年12月6日

相反,如果是个人账户地址的话,

个人账户地址:newdexpocket


截图来自:eospark.com
时间:2018年12月6日

这时,你就会看到这个地址只显示了账户详情,隔壁没有合约详情的按钮。这个地址是什么意思呢?

这个地址其实就是说,你交易挂单时,委托的代币其实就是充值到一个叫newdex个人账户上。这个账户和你我eos账户并没有什么异同,完全由newdex团队的信用来决定其资产安全性。所以,如果这个账户什么时候跑路了,你也不能怨谁,因为你根本找不到对应的人。

疑点二:Newdex的平台介绍没有团队、注册公司等信息

那newdex会不会跑路呢?

暂时来看肯定不会的,毕竟目前流量靠前,并且还能赚手续费。所以暂且用中心化的信用背书来相信它吧。就像我们信任火币、币安一样,我们至少知道他们的创始人是谁,背后的注册依托公司是谁。那么newdex又是何等人呢?

我找遍了一圈newdex官方平台,首先发现他们并没有白皮书、注册主体、创始团队、投资机构等信息。在仅有的newdex平台介绍一页中,我倒是看到了一大堆合作单位。


截图来自:newdex平台介绍
时间:2018年12月6日

看来这难道是希望借助合作单位的引流把newdex做大以后,等个人账户充实后,跑路时也一干二净、无踪迹可查?细思恐极。

相反,对比其他家去中心交易所,我以newdex公告中两家合规的去中心化交易所查询披露信息时,发现都把该公开的公开:

截图来自:btex官网
时间:2018年12月6日


截图来自:鲸交所官网
时间:2018年12月6日

这两家都把白皮书及投资机构都公示于众。

总结

所以综上所述,newdex存在着非常大的疑点,其中有二:
疑点一Newdex的充值地址不是智能合约地址,所以根本不是一个「去中心化交易所」合规做法。
疑点二Newdex官网无披露白皮书、团队、投资机构等信息,一旦发生中心化作恶问题,没有相应问责惩罚措施。

当然,目前Newdex仍在正常的运转,因为发现问题的用户并不多。但是如果还是继续纵容项目方这么披着「去中心化交易所」之名,发生了跑路事件,那么很有可能让群众对「去中心化交易所」产生了信任危机。所以请Newdex不要再假借「去中心化交易所」之名,干着私自收款的事。而参与newdex交易的用户,也请知道在newdex上的交易,终究是面临newdex带着个人账户跑路的危险,所以自我需要规避风险。

230