起底EOS:DApp安全生态

链得得(原作者: PANews)    2019-01-17 14:26:06

“只要黑客中奖了他就让结果生效,不中奖就一直不生效,直至他中奖。”

“在EOSBet遭受假转账攻击之后的两三天内,市场上弥漫着一股恐慌的情绪。开发者们都不知道是由于什么原因导致了这次的攻击,唯一知道的是EOSBet突然间遭受了史无前例的巨大损失,于是大家只能纷纷把游戏暂时关闭,等到漏洞修复之后才重新开放。”

EOS在目前DApp之争中遥遥领先,也成为黑客的沃土。据区块链数据与安全服务商PeckShield的统计,去年7月至12月间,EOS链上的DApp共发生49起安全事件,波及37个DApp,导致项目方共损失近75万枚EOS,按照攻击发生时的币价折算,总损失约合319万美元。

“现在的攻击手段都还属于早期,远远还没到深层次的安全漏洞”,黑客地毯式的攻击,让EOS生态“危机四伏”,而攻防之间,安全的“围墙”日益高起。

11种常见攻击手法
单次攻击最高获利80万美元

DAppTotal 1月11日数据显示,EOS链上目前已有219个活跃的DApp,共有43782个活跃用户,累计交易量超过1189万个EOS。虽然在活跃DApp数量上比ETH少了144个,但在活跃用户和累计交易量(代币数量)上分别比ETH高出5倍和1000倍。

EOS生态红红火火的建设的同时,频发的安全事件也成为不容忽视的隐患。在统计时间范围内的49起安全事件中,共出现11种攻击类型,包括溢出攻击、随机数问题、重放攻击、假EOS攻击、假转账通知、拒绝服务攻击、敏感权限、私钥泄漏、交易回滚攻击、内联反射攻击、同名混淆交易。

最早出现的手法是发生在去年7月的溢出攻击,这主要是由于EOS系统底层asset类代码存在缺陷,这个缺陷导致极小的金额可以通过相乘放大无数倍,变成极大的金额。这个漏洞在被爆出之后,就立刻被修复,此类攻击手法也只发生在主网上线的早期。

在诸多攻击类型中,泛随机数安全事件最多发,共发生31次,占去年下半年总安全事件的63.27%。PeckShield安全团队认为随机数问题和交易回滚都是针对随机数进行的攻击,同属于泛随机数安全范畴内的攻击手法。

其中,最常发生的安全事件是随机数问题,一共发生了16次,这种手法通常是指随机数算法被破解,黑客根据破解出来的随机数成功计算出开奖结果。比如11月10日,名为“1supereosman“的黑客就用这种方法攻击了MyEosVegas,致使开发者损失了7530个EOS,按当天币价折算,约4万多美元。这也是所有随机数攻击中,黑客获利最丰厚的一次。

次多发的安全事件则是交易回滚,一共发生了15次,如果具象化到攻击案例中就是,由于下注和开奖通常在一个事务里完成,如果开奖时黑客发现他并未中奖,就直接采用中断攻击,让事务中断,整个交易就会回滚,等待下一次开奖。这个过程对黑客来说相当于一个循环,简单来说就是,只要黑客中奖了,他就会让结果生效,如果一直没中奖,黑客就会让结果一直失效,直到黑客自己中奖为止。由于EOS网络的交易速度很快,使得这种试错的循环运转也很快,而且对黑客而言,这种试错几乎没有成本。

但出人意料的是,虽然发生次数最多,但随机数问题和交易回滚并非造成DApp开发者损失最惨重的攻击手法,假转账通知才最具“杀伤力”。尤其是名为“ilovedice123”和“whoiswinner1”的黑客在10月15日对EOSBet发起的

但出人意料的是,虽然发生次数最多,但随机数问题和交易回滚并非造成DApp开发者损失最惨重的攻击手法,假转账通知才最具“杀伤力”。尤其是名为“ilovedice123”和“whoiswinner1”的黑客在10月15日对EOSBet发起的假转账通知攻击,直接造成开发者超过14万个EOS的损失,按当天币价折算,近80万美元。这也是所有49起安全事件中,黑客获利最丰厚的一次攻击。

“假转账通知攻击其实是利用了开发者校验不严谨产生的一个漏洞”,PechShieldEOS安全负责人施华国在接受PANews专访时解释道:“开发者出于自身业务需求对EOS的apply接口做了相应的修改,可是修改完后,开发者没对收入的EOS做基本逻辑判断,导致开发者接收到EOS后,没有检查转账收款方是否是自己,把其他人之间的转账当成给转给自己,直接做了开奖处理,造成了巨大的损失。”在EOSBet遭受假转账攻击之后的两三天内,市场上弥漫着一股恐慌的情绪。开发者们都不知道是由于什么原因导致了这次的攻击,唯一知道的是EOSBet突然间遭受了史无前例的巨大损失,于是大家只能纷纷把游戏暂时关闭,等到漏洞修复之后才重新开放。

跟假转账通知类似的攻击手法还有假EOS攻击,这也是由于开发者没做基本校验。具体而言,开发者没有校验收到的EOS是真的EOS Token还是同名代币,却把两者都当做真的EOS收进来交易了,是一种以假乱真的攻击手法。

假转账通知和假EOS攻击是发生在EOS主网上线三个月左右的时候,在PechShield安全团队看来,那个时候的漏洞还是比较初级,只是涉及到一些程序的漏洞。

就在PANews截稿前夕,1月11日对DApp的攻击又出现了第12种新类型——交易阻塞攻击。黑客用这种攻击手法影响超级节点出块,造成全网拥堵,等于把整个网络搞瘫痪了。施华国认为:“交易阻塞攻击的影响面是非常大的,因为这个是公链层面的漏洞,不同于以往DApp合约层的安全事件影响,一旦被黑客利用,危害的会是基于主网生态上的每一个参与者,包括超级节点、DApp开发者,乃至每一个用户。”

交易阻塞攻击几乎影响全部EOS竞猜类游戏DApp的正常开奖,已有多款知名EOS游戏被攻击,虽然目前EOS 主网已发布补丁,但还不能完全确保DApp免受此漏洞攻击。

平均每周发生2次攻击 12月最多
波及37个DApp EOSBet成“靶心”

PAData估算了统计时间范围内的49起安全事件后发现,EOS上的DApp几乎平均每3.5天就会面临1次攻击,即几乎每周会发生2次攻击。

其中,12月是发生攻击次数最多的一个月,共发生了20次安全事件,相当于1.5天发生1次,远高于平均水平。同时,12月也是统计时间范围内因攻击导致开发者损失EOS数量最多的一个月,共有近35万枚EOS被黑客收入囊中。

PeckShield安全团队认为这是由于12月出现了新型的回滚交易攻击,本来,经历过7月到10月之间的损失以后,大多数开发者都建立了自己的安全风控系统。当一个交易请求或者一个事件发生以后,安全风控系统可以对它做预知判断,一般来说,如果是通常的攻击手段,都会在系统的预判之内,系统会直接做熔断处理。但开发者没预料到会发生回滚交易攻击,新的攻击手法无法触发安全风控系统的熔断机制,“手无寸铁”DApp迅速沦陷。

“而且这种攻击是针对游戏逻辑层面的问题进行的,那时候大多游戏都有各种各样的逻辑问题,所以黑客的得手率也很高。”

币价的下跌,也严重影响了黑客的攻击获利。虽然12月份无论在攻击次数还是开发者损失的EOS数量上都远高于其他月份,但12月加密货币市场整体已经进入寒冬,受币价下跌的影响,按照攻击当日的币价来折算,12月并不是损失金额最大的一个月,相比币价较高的10月,12月发生的20次攻击导致开发者共损失近88万美元,而10月份仅有的5次攻击却导致开发者损失了121万美元。从损失的金额上来讲,恐怕开发者要庆幸回滚交易攻击发生在熊市了。

在统计时间范围内,EOS上共有37个DApp遭遇了黑客攻击。其中,EOSBet被花样攻击过3次,分别遭遇过EOS系统缺陷、假EOS和假转账通知攻击,总共损失了近19万枚EOS,分别按照攻击发生当日的币价来折算,总损失约为103万美元,是所有被攻击的DApp中损失最惨重的一个。EOSBet成为靶心主要还是由于交易量太大了,正如施华国在采访中所说的:“黑客攻击肯定是盯大户。”

其次,狼人游戏、EOSBetDice、EOSCast、EOSMAX也是损失较为惨重的DApp,按照币价折算,都超过了10万美元。

每15天出现新攻击手法
“攻击手段仍处于早期”

黑客的技术在不停地演进,攻击手段也越来越复杂。PAData统计发现,几乎平均每15天就会出现一种新的攻击手法。去年7、8月的时候以攻击系统最基础的漏洞为主,9、10月开始攻击程序逻辑漏洞,11、12月上旬,攻击者已经开始研究开发者的算法——泛随机数问题开始爆发。而12月下旬开始,攻击手法又一次升级,黑客不止利用了程序逻辑漏洞,甚至还利用了系统的一些严重漏洞。

“现在的安全风控系统还很不完善,但至少大家都有意识在做这个事情。”施华国认为这是一个好现象,“但是开发者的精力主要在产品上,安全只能是基于他的理解对一些已知漏洞做的保护,实际上效果还是很差的。”比如PeckShield安全团队经常强调正常的随机算法已经是安全的了,不应该再加任何参数,但还是有好多开发者加比如时间戳和余额信息等其他参数,开发者认为多一个参数多一份安全,但实际上增加的参数反而会影响随机化机制,而大部分回滚交易最后回溯都是因为这些参数让随机数变得可预判了,或者说可变化了。

PeckShield创始人兼CEO蒋旭宪在接受PANews采访时曾表示,“我认为现在的攻击手段都还属于早期,远远还没到深层次的安全漏洞,比如定位智能合约的逻辑来攻击等。现在比较多发的随机数、交易回滚还处于黑盒子就能测出来的阶段,但接下来这种攻防少不了。”

虽然区块链安全事件频发,但技术的演进与黑客的博弈也是发展的必然过程,就如同移动互联网时期的安卓系统,刚开始也是千疮百孔,漏洞百出,而随着攻防演进,技术终将不断向前发展。

(作者:PANews,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

看涨:0
看跌:0
热点快讯
15分钟前
USDT占比特币交易比重约为78.47%
据cryptocompare数据显示,目前比特币交易情况按照交易币种排名,排在第一的是USDT,占比为78.47%;排在第二的是美元,占比为9.09%;排在第三的是QC,占比为3.31%;排在第四的是韩元,占比为2.18%;排在第五的是欧元,占比为2.08%。
陀螺财经
25分钟前
市值前百币种涨跌参半 BNB涨幅排名第三
据coinmarketcap数据显示,目前市值前百币种中50涨50跌,其中BNB以9.46%的涨幅领涨市值前十加密货币。涨幅前三的币种分别为:ETN(+21.44%),MCO(+14.71%)及BNB(+9.46%);下跌前三的币种分别是:KMD(-10.57%),MXM(-8.82%)和ADA(-5.10%)。
陀螺财经
25分钟前
BITRUN Hackathon 在杭正式开赛
9102 BITRUN Hackathon 于今日在杭正式开赛,本次赛事共召集了近百名优秀的参赛者,组成近二十支队伍,他们将在接下来的两天里挑战48小时极限编程,让我们共同见证新想法,新产品的诞生!本次黑客马拉松由GXChain和CPChain全程提供技术支持,Ultrain、Bytom提供活动赞助支持。 本次9102 BITRUN Hackathon已经是BITRUN举办的第四届黑客马拉松活动了,作为国内最硬核的黑客马拉松品牌,BITRUN Hackathon坚持真比赛、真编程、真原创,坚持为选手们和项目方都带去最真实的Hackthon体验。
陀螺财经
50分钟前
加密货币开发商从三星等公司筹集了400万美元资金
以色列加密货币开发商KZen已从包括韩国电子巨头三星在内的投资者那里筹集了400万美元,该公司旨在通过智能手机钱包应用来简化初级加密货币用户的钱包托管。(cointelegraph)
陀螺财经
55分钟前
币世界明日看点:火币兑换VEN 币安武汉见面会
1.火币全球站将于4月20日18:00前将用户的VEN旧币自动兑换为VET新币。 2.币安将于4月20日在武汉举行见面会。
币世界
1小时前
分析师看后市4月19日:1位看涨4位看平4位看跌
今日共有9位币圈分析师对BTC明日走势进行了判断,其中1位看涨4位看平4位看跌。 1.看涨 @黑钻评级:长周期上均线和布林带释放能量,日线上盘于5200上方,预示后市依然多大于空。操作上可在5200、5190、5185点位布局多单,获利既出;若行情下破5150点位,可在5125、5130附近低多,获利既出;行情破位5300可继续持有。 2.看平 @币皇帝:BTC突破5300失败会继续震荡消化,市场大部分资金还未触发跟涨情绪,建议持币观望。 @数字货币趋势狂人:BTC后市可能会选择继续震荡向上,但是大家必须要理解的是,能够支撑持续向上的逻辑在短期内都已经不在,这波即使拉上去也是强弩之末,是用来套人的行情。现在我们把仓位设成半仓,进可攻,退可守,观察后面上攻的力度吧。 @北冥社区:能够在压力位附近横盘就是强势的表现,今天出现的下跌,是遭到获利盘的回吐所致,当成是正常的回调看待。操作建议:5成仓位。 @币世界多空指南针:1小时操作建议为中立,4小时操作建议为中立。注:多空指南可在《币世界》行情币种详情页查询。 3.看跌 @丹布朗·卡卡:BTC高位震荡,5300上不去转弱,走势处于疲劳阶段,谨慎一根长阴释放风险。建议控制仓位,等待调整,回踩5000区域。 @牛魔王看盘:BTC从5400暴跌之后,预期3--5天的震荡,结果震荡了8天,还没有变盘的迹象,不过5、8、13都是变盘节点,明天是周末,谨防出幺蛾子。5300阻力一天不突破,空头就有可能发动突袭,建议不要追多,行情随时有回调的可能,囤币者,按照既定节奏买入就行。 @飞龙在天:BTC 1小时级别顶背离还在延续,目前已经走了1-2结构,还差3下跌,今晚恐还有一波下跌,之后可以在5150附近做多。 @姥爷谈币:BTC需要继续调整才可能扩大短线涨幅,1小时K线走出了两段小幅背离。若下坡可在5000左右建仓,若上行突破5380全部抛掉,等待回调。 (注:以上观点为分析师个人建议,不构成任何投资意向,仅供参考。)
币世界
1小时前
赵东:BCH、BSV存在的意义就是做失败尝试
DGroup创始人赵东发微博称:“BCH、BSV存在的意义就是做失败尝试,这次倒是充分证明了过早推行大区块的危险性,也挺有意义!记得分叉BCH前我还挺反感的,后来我发现分叉挺好,就是一波人分叉出去独立冒险,失败了不影响比特币,要是成功了比特币也可以借鉴啊。”据此前消息,昨晚BSV区块连续出现多次回滚(高度578640-578645),异常区块的交易数超多。BSV社区回应称,这是一位开发者在主网进行的一次短时生成大量交易的压力测试,该测试导致了本次区块深度重组事件。
币世界
1小时前
火币HB10行情周报:HB10本周上涨2.90%,共产生136次套利机会
根据火币HB10行情周报,4月13日至4月19日,HB10本周上涨2.90%,HB10资金占比前三大币种本期间内表现为BTC/USDT上涨3.18%,ETH/USDT上涨4.97%,EOS/USDT上涨2.29%;HB10与10种成分币盈利比较排名第5。上周HB10/USDT价格涨跌幅年化波动率29.24%,排名第2。由于HB10包含10个币种,分散风险功能体现显著。此外,HB10本周出现套利机会约约136次,换入套利机会约24次,换出套利机会约112次。
币世界
1小时前
火币矿池宣布竞选ASCH超级节点
今日,火币矿池宣布竞选ASCH超级节点,希望在节点服务、社区建设、DApp开发等方面贡献自己的力量。据悉,阿希链(ASCH)21个超级节点面向所有个人、机构开放候选申请。超级节点将围绕ASCH去中心化生态建设,流量宣传推广、底层技术、DApp开发、传统行业赋能等。火币矿池目前已成为亚太地区最大的POS社区之一、领先的POW矿池以及众多公链节点。
陀螺财经
1小时前
Ripple Labs昨日出售了2000万枚XRP,有社区成员称其3个月共计卖出10亿枚
小葱APP讯,Ripple Labs是XRP背后的实体公司,控制着大约500亿枚XRP,昨天售出2000万枚XRP,价值约700万美元,但这笔交易似乎发生在场外交易。目前还不清楚Ripple为何出售这些资金以及出售的具体价格和用途。Leonidas Hadjiloizou似乎是XRP的社区成员,小葱发现他在一篇帖子中称:“XRP循环供应量从12月16日的40794,121,066枚增加到3月17日的41,706,564,590枚。在3个月内,这一数字增加了近10亿XRP,与上个季度的增幅相仿。”2018年最后一个季度,Ripple出售了价值1.2903亿美元的XRP, 2018年全年销售了5.3556亿美元。这是一笔庞大的资金,但不清楚他们把钱花在什么地方。现在他们又增加了更多。如果他们自去年12月以来真的卖出了10亿XRP,算上价格变动,这一数字将达到2.5亿至3亿美元左右。(trustnode)
小葱APP
2小时前
火币全球站已经开放THETA新币充币业务
据火币官方公告,THETA主链已上线,火币全球站已于2019年4月19日20:30开启THETA新币的充币业务,并不再支持旧链业务。
币世界
2小时前
imToken 宣布支持第四条公链 Cosmos
据官方消息,4月19日,继以太坊、比特币、EOS,imToken 宣布即将支持第四条公链:Cosmos,用户在钱包内可以完成 ATOM 代币转账收款、兑换 、Staking(质押挖矿)和提案投票等四大功能,成为全面支持 Cosmos 的一站式钱包。 这意味着 imToken 正式布局 PoS 公链生态 ,目前 imToken 的全球累计设备装机量超过800万。
陀螺财经
2小时前
BNB表现亮眼,短线上破23USDT关口
币安行情显示,在主流币今日基本维持震荡走势的情况下,BNB延续强势走势,短线突破23USDT关口,24小时涨幅超10%,现小幅回落至22.89USDT附近。
陀螺财经
2小时前
Insight Chain热点调研:维基解密创始人阿桑奇被捕 近九成投资者认为良好的监管有助于加密货币的发展
调研链Insight Chain(INB)今日发布投资者关于阿桑奇被捕的热点调研结果。本次在Insight DApp内共收集有效问卷222份,其中高达69.4%的投资者认为阿桑奇应该被捕。83.8%的投资者有投资数字货币的愿意。36.9%的投资者看好比特币的原因是安全性,30.6%的投资者看好比特币的原因是它是未来货币的雏形。此外,82.4%的投资者认为良好的监管有助于加密货币的发展。
币世界
2小时前
报告:马耳他注册交易所的月交易量自2月份以来增长56%
据Crypto Globe消息,CryptoCompare报告数据显示,马耳他注册交易所的月交易量自2月份以来增长56%,中国香港、韩国紧随其后。报告指出,今年3月,在马耳他注册的交易所交易总额为561亿美元,而香港、韩国交易所交易总额分别为531亿美元和402亿美元。此外,在加密货币交易所的交易量方面,欧洲其他国家明显处于垫底。
币世界
2小时前
NEW今日成交额火币第一,成交额达13.4亿
截至4月19日19:50(GMT+8),火币PRIME二期项目NEW今日在火币全球站的成交额13.4亿,超过ETH、BTC以及EOS的总和13.18亿(其中ETH5亿,BTC4.36亿,EOS3.82亿)。NEW现在涨幅23.6%,现报价0.016233USDT,相对PRIME二期首轮限价(折合0.001667USDT)涨幅874%,相对PRIME二期第二轮限价(折合0.002USDT)涨幅712%,相对PRIME二期第三轮限价(折合0.0024USDT),涨幅576%。NEW24小时涨幅超49%。
陀螺财经
2小时前
维基链链游生态沙龙今日结束
据维基链官方消息,维基链链游生态沙龙今日正式结束。出席该活动的嘉宾包括曾任多款网易游戏、腾讯游戏制作人的Brilliant Games CEO贾斌涛、区块跳动CEO王朔、白鹭科技与Egretia的创始人Peter、UOC开源社区创始人贾可等区块链游戏领域的专家和资深从业人士。 链游生态沙龙旨在与业界共同探讨并寻求推动区块链游戏生态的可持续发展。对于近日推出了千万激励金生态共建计划、为开发者提供长效扶持政策保障的维基链,区块链游戏也是其共建计划的重要一环。
陀螺财经
3小时前
金荣一:让认证过的节点有办法参与交易的处理,确保结算速度不会影响服务品质
在今日第12期掌柜调查署上,针对“Pay Protocol将采用何种方式保证系统高速准确运行”的问题,Pay Protocol CMO金荣一表示:PayProtocol採用的区块链是Hyperledger Fabric,这是企业型的私有链,和我们一般接触的公链不同。我们之所以选择Hyperledger Fabric是他可以根据我们企业的需求,让认证过的节点有办法参与交易的处理,确保结算速度不会影响服务品质。而Hyperledger Fabric已被IBM, JP Morgan, 百度等等的大型企业运用中,我们非常看好其未来的发展性。
陀螺财经
3小时前
金荣一:PayProtocol和传统支付最大的差别在于支付流程
在今日第12期掌柜调查署上,针对“Pay Protocol在哪些方面有别于传统支付,其目前的生态构建情况如何”的问题,Pay Protocol CMO金荣一表示: PayProtocol和传统支付最大的差别在于支付的流程。传统支付系统通常有8个以上的服务提供商协助处理一笔交易,这不断会提高中间的手续费,也会导致商家清算的时间过长。PayProtocol是基于区块链的支付系统,透过该技术简化中间的流程,降低成本和清算週期。目前我们的开发团队已经成功部署了我们的主网,将在短期内对外公开。
陀螺财经
3小时前
鲨鱼:BTC震荡幅度逐步加大 须耐心等待时间窗口
《币世界》币圈分析师“鲨鱼谈区块链”认为,单纯从技术指标分析,MACD运行在零轴上方,死叉朝下,显示市场还有惯性下行,碰触零轴的欲望,KDJ金叉向上,说明市场短期还有试探上行的余力,但是指标运行在相对高位,再度大幅上涨空间有限。未来24小时内,BTC大概率会在4891点到5450点之间震荡。操作建议:目前建议仓位5成,如果市场率先突破至5408,逢高逐步减仓,如果惯性拉升至5450点到5500点之间,逢高全部卖出,空仓等待。但是如果大幅跌至4900点下方,可以低吸。
币世界