来源:共享财经
今日,BetDice发布公告称,BetDice遭受回滚交易漏洞攻击,损失20万EOS。
与此同时,就在今日,其它头部DApp也都遭遇了相同的攻击,据统计,除了BetDice之外,EOS Max损失超5万EOS,ToBet损失22000EOS,Big.game也损失了8000EOS。
年底了,野心膨胀的黑客们,终于决定干票大的。
数额巨大,一家所为
如果按照EOS价格为18元来算的话,此次黑客攻击共计获利超过500万元。这对于时常遭受黑客光顾的EOS DApp来说,也是一笔不小的损失。
要知道,从7月到11月底,EOS上的DApp已经发生了27起盗窃事件,总共损失了40万枚EOS,即720万元。而此次的500多万元,足以比得上其他黑客勤勤恳恳“工作”3个月的量了。
对于此次攻击事件,PeckShield安全人员分析认为:接连发生的四款竞猜类游戏被攻击事件,均和EOS Node存在漏洞有关,初步推断为同一帮黑客所为。
PeckShield的判断依据是,这四款DApp不仅遭遇的攻击手段相同,其攻击账户也都出自同一个地方。
监测显示,攻击BetDice的账号hnihpyadbunv创建了账号eykkxszdrnnc,用来攻击EOSMax与BigGame。账号eykkxszdrnnc又创建了子账号kfexzmckuhat用来攻击ToBet。攻击成功后,再频繁创建子账户转移所得资产。
实际上,除了这一家胆子较大的黑客之外,昨天夜间,23:35至23:40之间,黑客(panming12345)向EOS竞猜类游戏TRUSTBET游戏合约发起攻击,共计获利11501个EOS,换算下来大约20万元。
只不过和500万相比,这一攻击显得有些微不足道。
攻击多样,毫无防御
据了解,此次两家黑客采取的攻击手段各不相同,分别采用了“回滚交易攻击”和“重放攻击”。
PeckShield安全人员表示,重放攻击漏洞是一种最早出现于EOS DApp生态初期的攻击形态。由于开发者设计的开奖随机算法存在严重缺陷,使得攻击者可利用合约漏洞重复开奖,是一种较低级的错误。
而回滚交易攻击作为最近新兴的攻击手段。此前,在EOS游戏LuckGo遭受inline action回滚交易攻击时,成都链安团队分析称,因为EOS的交易里的行动环节是原子事务操作,如果其中任何一个环节出错,整个交易会失败并回滚已经执行的环节。所以,如果不盈利,回滚后攻击者不消耗也不损失EOS。所以该攻击的核心技术是如何检测盈利情况。
简而言之,攻击者将赌博游戏变成了单机游戏无限读档的模式。如果发现没有中奖,可以将每次投注的EOS退回,从而无成本重新加入游戏,直到获奖为止。
除了以上两种手段之外,黑客的攻击手段越来越丰富。PeckShield EOS安全负责人施华国表示,黑客攻击手段也在不断演变且愈发复杂。从7月份的“溢出攻击”到8月份“合约RAM吞噬”问题,再到此后“假EOS攻击”、“重放攻击”、“假通知攻击”,最后到近段时间甚嚣尘上的“随机数攻击”、“交易回滚攻击”,黑客的攻击花样百出。
其中,假通知攻击是黑客创建了两个账户A和B,并且在B账户中部署了EOSBet合约。这样,在A往B账户中转账时,EOSBet也会受到转账通知,EOSBet合约在收到转账通知后,并没有校验,就将其错误判断为一笔给自己的正常转账,然后根据平台游戏规则给了账号A发送相应的EOS奖励。实际上,账号A和账号B都是黑客自己的账号,黑客正是使用自己的两个不同账号互相转账,以“零成本”骗取了平台巨额奖励。
而假EOS攻击,是黑客创建了一种基于EOS的代币,并将其命名为“EOS”,开始大量给被攻击合约账号转账假EOS代币。由于合约没有检测EOS的发行方,误把“假EOS”转账视为真的,按照开奖流程分配了奖金。这种“假EOS”攻击方式,关键点是合约函数没有检测发行代币的合约名。
可以看到的是,无论是黑客的哪种攻击,都可以蒙骗诸多DApp游戏合约。这一方面是由EOS本身的智能合约业务逻辑特性导致,另一方面,也是因为大部分游戏都是抄抄抄,同一种攻击适用于大部分EOS DApp游戏。
而对于黑客多样的攻击方式,不少安全公司都做出了演示。通过演示可以发现,黑客的操作往往异常简单,只需要改变其中几个代码,就可以完成攻击操作,来钱简直不要太容易。
最终的结果就是,黑客攻击不管多Low,DApp游戏往往都会中招。
毫无影响,有点想涨
不过,由于DApp常被攻击,所以,对于此次众多头部DApp遭受回滚交易漏洞攻击,币圈貌似已经对这种事免疫了,最直观的反应就是:EOS币价毫无影响,甚至还有点想涨。
这两天,加密货币迎来了3连阳的态势。尤其是从12月17日晚8点开始,比特币开启了一路飙升的模式。短短两天,比特币连续上涨了500美元左右,从3280美元涨到了3780美元附近。
而EOS貌似也没有受到DApp事件太多的影响,跟随比特币的脚步从1.95美元一路上涨到2.6美元,上涨了大约25%。
对此,有业内人士分析称,这有可能因为目前持币者中,DApp玩家占比还比较小,大多数人关注的还是当前的价格,而另外被盗的量相比于整体来说也很小,影响可能有限。以头部DApp的盈利能力来说,损失还没有到难以承受的地步。
据记者了解,目前部分项目已经完成了漏洞修复,EOS整体行情也没有受太大影响。而且,此次事件也让EOS的CPU价格重回低点。看起来,对于EOS的正常用户来说,此次DApp攻击事件反而还是好事。
而黑客盗取的EOS第一时间就转到了交易所,大有扬长而去的意味。但是,完全无防御,小攻击捞大钱,多少人不禁想问,EOS的安全问题啥时候才能终结?
来源:共享财经
发布人:The Man
声明:该文观点仅代表作者本人,不代表火讯财经立场。火讯财经系信息发布平台,仅提供信息存储空间服务。
如文章涉及侵权, 请及时致函告之,本站将第⼀时间删除⽂章。邮箱:840034348@qq.com