北京时间2018年12月19日凌晨,EOS网络中,包括BetDice在内的数个游戏DApp遭受黑客攻击,损失数十万枚EOS通证。
TokenInsight认为本次事件是由于部分游戏DApp为增强游戏体验,在自建节点中运行DApp,导致链上数据同步时出现错误。
因为部分代码和数据未被公开,攻击的重现难度较高。据推演,黑客可能的攻击手段如下:
EOS被盗流程推演图
来源:TokenInsight
主力复盘:暴跌前24小时火币主力卖出1.1亿美元:AICoin PRO版K线主力大单统计显示:8月1日13:45-8月2日12:15,火币BTC季度合约主力大单委托频繁出现并成交。其中,一共成交了110笔,共计1.1亿美元大额委托卖单;成交了76笔,共5155万美元大额委托买单,成交差-5846.7万美元。[2020/8/3]
1、黑客向DApp发送参与游戏的请求;
2、黑客直接向BP节点发送取消游戏的请求,或使账户余额不足而导致转账失败;
主力成交复盘:币安1024枚BTC主力卖出引发瀑布:AICoin PRO版K线秒级周期及主力成交数据显示:今天10:32:02秒,币安BTC/USDT交易对有一笔数量为1024.37BTC,价格为9550.99美元的主动卖出,最终卖出滑点-179.39美元。该笔大额主动卖出为此轮瀑布中多个平台里第一笔大额卖出,随后市场跟随下跌至最低9256美元。[2020/5/15]
3、DApp将黑客的游戏请求发送至BP节点,并在自建节点上运行黑客的游戏结果,若运算出玩家胜利的结果,则向BP节点发送给予玩家奖励的请求;
主力成交数据复盘:638万张主力买单确认15分钟周期三角突破:AICoin PRO版K线主力成交数据显示:BitMEX XBT永续合约在5月10日09:00~11日19:00的15分钟周期中做三角形震荡。
18:40,价格接近平台上沿压力线,并于18:41向上突破。期间,共计有5笔,共计638万张主力买入;有2笔,共计200万张主力卖出,成交差438万张。较多的主力买入跟进可以判断该周期的三角形突破为真突破。[2020/5/11]
4、BP节点先后收到「黑客取消游戏」请求、「DApp发送游戏」请求、「DApp给予游戏奖励」请求。因为时间顺序和转账冲突的原因,「黑客取消游戏」请求被执行,而「DApp发送游戏」请求执行失败,「DApp给予游戏奖励」请求被执行。
5、黑客收到DApp的转账,一次攻击完成。
首先,应对该种攻击手段,可将DApp读取的状态数据改为read-only模式,read-only模式下数据库包含传入区块的更改,但不影响speculative交易处理。
此外,关于此次EOS的安全事件,AnChainCEOVictor指出,AnChain在Ethereum以及EOS有关安全的问题上有着较丰富的经验与技术积累,并且也提供有关代码的安全检测服务,这次的安全事件是完全可以避免的。比如,DApp可以使用ref_block功能,在给玩家发放奖励前,判断用户是否真的转账成功。同时,Victor还指出,这个安全问题背后还暴露出了在EOS中更加严重的问题,相较于其他部分公有链,EOS区块链并不记录失败的交易,浏览器也无法查询,这是EOS在架构设计方面的缺陷。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
TokenInsight
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627096.html
EOS柚子
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
慢雾:破解造成BetDice项目恐慌的交易回滚攻击手法
下一篇:
知道创宇携手中信云合作案例获评「2018企业服务案例TOP50」
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。