起底EOS:DApp安全生态

链得得(原作者: PANews)    2019-01-17 14:26:06

“只要黑客中奖了他就让结果生效,不中奖就一直不生效,直至他中奖。”

“在EOSBet遭受假转账攻击之后的两三天内,市场上弥漫着一股恐慌的情绪。开发者们都不知道是由于什么原因导致了这次的攻击,唯一知道的是EOSBet突然间遭受了史无前例的巨大损失,于是大家只能纷纷把游戏暂时关闭,等到漏洞修复之后才重新开放。”

EOS在目前DApp之争中遥遥领先,也成为黑客的沃土。据区块链数据与安全服务商PeckShield的统计,去年7月至12月间,EOS链上的DApp共发生49起安全事件,波及37个DApp,导致项目方共损失近75万枚EOS,按照攻击发生时的币价折算,总损失约合319万美元。

“现在的攻击手段都还属于早期,远远还没到深层次的安全漏洞”,黑客地毯式的攻击,让EOS生态“危机四伏”,而攻防之间,安全的“围墙”日益高起。

11种常见攻击手法
单次攻击最高获利80万美元

DAppTotal 1月11日数据显示,EOS链上目前已有219个活跃的DApp,共有43782个活跃用户,累计交易量超过1189万个EOS。虽然在活跃DApp数量上比ETH少了144个,但在活跃用户和累计交易量(代币数量)上分别比ETH高出5倍和1000倍。

EOS生态红红火火的建设的同时,频发的安全事件也成为不容忽视的隐患。在统计时间范围内的49起安全事件中,共出现11种攻击类型,包括溢出攻击、随机数问题、重放攻击、假EOS攻击、假转账通知、拒绝服务攻击、敏感权限、私钥泄漏、交易回滚攻击、内联反射攻击、同名混淆交易。

最早出现的手法是发生在去年7月的溢出攻击,这主要是由于EOS系统底层asset类代码存在缺陷,这个缺陷导致极小的金额可以通过相乘放大无数倍,变成极大的金额。这个漏洞在被爆出之后,就立刻被修复,此类攻击手法也只发生在主网上线的早期。

在诸多攻击类型中,泛随机数安全事件最多发,共发生31次,占去年下半年总安全事件的63.27%。PeckShield安全团队认为随机数问题和交易回滚都是针对随机数进行的攻击,同属于泛随机数安全范畴内的攻击手法。

其中,最常发生的安全事件是随机数问题,一共发生了16次,这种手法通常是指随机数算法被破解,黑客根据破解出来的随机数成功计算出开奖结果。比如11月10日,名为“1supereosman“的黑客就用这种方法攻击了MyEosVegas,致使开发者损失了7530个EOS,按当天币价折算,约4万多美元。这也是所有随机数攻击中,黑客获利最丰厚的一次。

次多发的安全事件则是交易回滚,一共发生了15次,如果具象化到攻击案例中就是,由于下注和开奖通常在一个事务里完成,如果开奖时黑客发现他并未中奖,就直接采用中断攻击,让事务中断,整个交易就会回滚,等待下一次开奖。这个过程对黑客来说相当于一个循环,简单来说就是,只要黑客中奖了,他就会让结果生效,如果一直没中奖,黑客就会让结果一直失效,直到黑客自己中奖为止。由于EOS网络的交易速度很快,使得这种试错的循环运转也很快,而且对黑客而言,这种试错几乎没有成本。

但出人意料的是,虽然发生次数最多,但随机数问题和交易回滚并非造成DApp开发者损失最惨重的攻击手法,假转账通知才最具“杀伤力”。尤其是名为“ilovedice123”和“whoiswinner1”的黑客在10月15日对EOSBet发起的

但出人意料的是,虽然发生次数最多,但随机数问题和交易回滚并非造成DApp开发者损失最惨重的攻击手法,假转账通知才最具“杀伤力”。尤其是名为“ilovedice123”和“whoiswinner1”的黑客在10月15日对EOSBet发起的假转账通知攻击,直接造成开发者超过14万个EOS的损失,按当天币价折算,近80万美元。这也是所有49起安全事件中,黑客获利最丰厚的一次攻击。

“假转账通知攻击其实是利用了开发者校验不严谨产生的一个漏洞”,PechShieldEOS安全负责人施华国在接受PANews专访时解释道:“开发者出于自身业务需求对EOS的apply接口做了相应的修改,可是修改完后,开发者没对收入的EOS做基本逻辑判断,导致开发者接收到EOS后,没有检查转账收款方是否是自己,把其他人之间的转账当成给转给自己,直接做了开奖处理,造成了巨大的损失。”在EOSBet遭受假转账攻击之后的两三天内,市场上弥漫着一股恐慌的情绪。开发者们都不知道是由于什么原因导致了这次的攻击,唯一知道的是EOSBet突然间遭受了史无前例的巨大损失,于是大家只能纷纷把游戏暂时关闭,等到漏洞修复之后才重新开放。

跟假转账通知类似的攻击手法还有假EOS攻击,这也是由于开发者没做基本校验。具体而言,开发者没有校验收到的EOS是真的EOS Token还是同名代币,却把两者都当做真的EOS收进来交易了,是一种以假乱真的攻击手法。

假转账通知和假EOS攻击是发生在EOS主网上线三个月左右的时候,在PechShield安全团队看来,那个时候的漏洞还是比较初级,只是涉及到一些程序的漏洞。

就在PANews截稿前夕,1月11日对DApp的攻击又出现了第12种新类型——交易阻塞攻击。黑客用这种攻击手法影响超级节点出块,造成全网拥堵,等于把整个网络搞瘫痪了。施华国认为:“交易阻塞攻击的影响面是非常大的,因为这个是公链层面的漏洞,不同于以往DApp合约层的安全事件影响,一旦被黑客利用,危害的会是基于主网生态上的每一个参与者,包括超级节点、DApp开发者,乃至每一个用户。”

交易阻塞攻击几乎影响全部EOS竞猜类游戏DApp的正常开奖,已有多款知名EOS游戏被攻击,虽然目前EOS 主网已发布补丁,但还不能完全确保DApp免受此漏洞攻击。

平均每周发生2次攻击 12月最多
波及37个DApp EOSBet成“靶心”

PAData估算了统计时间范围内的49起安全事件后发现,EOS上的DApp几乎平均每3.5天就会面临1次攻击,即几乎每周会发生2次攻击。

其中,12月是发生攻击次数最多的一个月,共发生了20次安全事件,相当于1.5天发生1次,远高于平均水平。同时,12月也是统计时间范围内因攻击导致开发者损失EOS数量最多的一个月,共有近35万枚EOS被黑客收入囊中。

PeckShield安全团队认为这是由于12月出现了新型的回滚交易攻击,本来,经历过7月到10月之间的损失以后,大多数开发者都建立了自己的安全风控系统。当一个交易请求或者一个事件发生以后,安全风控系统可以对它做预知判断,一般来说,如果是通常的攻击手段,都会在系统的预判之内,系统会直接做熔断处理。但开发者没预料到会发生回滚交易攻击,新的攻击手法无法触发安全风控系统的熔断机制,“手无寸铁”DApp迅速沦陷。

“而且这种攻击是针对游戏逻辑层面的问题进行的,那时候大多游戏都有各种各样的逻辑问题,所以黑客的得手率也很高。”

币价的下跌,也严重影响了黑客的攻击获利。虽然12月份无论在攻击次数还是开发者损失的EOS数量上都远高于其他月份,但12月加密货币市场整体已经进入寒冬,受币价下跌的影响,按照攻击当日的币价来折算,12月并不是损失金额最大的一个月,相比币价较高的10月,12月发生的20次攻击导致开发者共损失近88万美元,而10月份仅有的5次攻击却导致开发者损失了121万美元。从损失的金额上来讲,恐怕开发者要庆幸回滚交易攻击发生在熊市了。

在统计时间范围内,EOS上共有37个DApp遭遇了黑客攻击。其中,EOSBet被花样攻击过3次,分别遭遇过EOS系统缺陷、假EOS和假转账通知攻击,总共损失了近19万枚EOS,分别按照攻击发生当日的币价来折算,总损失约为103万美元,是所有被攻击的DApp中损失最惨重的一个。EOSBet成为靶心主要还是由于交易量太大了,正如施华国在采访中所说的:“黑客攻击肯定是盯大户。”

其次,狼人游戏、EOSBetDice、EOSCast、EOSMAX也是损失较为惨重的DApp,按照币价折算,都超过了10万美元。

每15天出现新攻击手法
“攻击手段仍处于早期”

黑客的技术在不停地演进,攻击手段也越来越复杂。PAData统计发现,几乎平均每15天就会出现一种新的攻击手法。去年7、8月的时候以攻击系统最基础的漏洞为主,9、10月开始攻击程序逻辑漏洞,11、12月上旬,攻击者已经开始研究开发者的算法——泛随机数问题开始爆发。而12月下旬开始,攻击手法又一次升级,黑客不止利用了程序逻辑漏洞,甚至还利用了系统的一些严重漏洞。

“现在的安全风控系统还很不完善,但至少大家都有意识在做这个事情。”施华国认为这是一个好现象,“但是开发者的精力主要在产品上,安全只能是基于他的理解对一些已知漏洞做的保护,实际上效果还是很差的。”比如PeckShield安全团队经常强调正常的随机算法已经是安全的了,不应该再加任何参数,但还是有好多开发者加比如时间戳和余额信息等其他参数,开发者认为多一个参数多一份安全,但实际上增加的参数反而会影响随机化机制,而大部分回滚交易最后回溯都是因为这些参数让随机数变得可预判了,或者说可变化了。

PeckShield创始人兼CEO蒋旭宪在接受PANews采访时曾表示,“我认为现在的攻击手段都还属于早期,远远还没到深层次的安全漏洞,比如定位智能合约的逻辑来攻击等。现在比较多发的随机数、交易回滚还处于黑盒子就能测出来的阶段,但接下来这种攻防少不了。”

虽然区块链安全事件频发,但技术的演进与黑客的博弈也是发展的必然过程,就如同移动互联网时期的安卓系统,刚开始也是千疮百孔,漏洞百出,而随着攻防演进,技术终将不断向前发展。

(作者:PANews,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

看涨:0
看跌:0
热点快讯
1小时前
Paxful将在非洲建立第三所由加密货币资助的学校
据cryptobriefing报道,Paxful将在非洲建立第三所由加密货币资助的学校,预计下个季度启动建设。《币世界》2018年12月4日曾报道,Paxful已在卢旺达捐建第二所学校。
币世界
1小时前
昆明市《政府工作报告》:2019年引进一批区块链创新企业
据云南网报道,2月17日,昆明市第十四届人民代表大会第四次会议在昆明国际会展中心召开。记者从今年昆明市《政府工作报告》中获悉,2019年昆明将引进一批区块链创新企业,促进电子政务、跨境贸易、住房租赁、智慧康养等领域率先实现区块链示范应用场景落地。大力推进资源数字化、数字产业化、产业数字化,促进数字经济快速发展。
币世界
2小时前
ADVFN首席执行官Clem Chambers:比特币是金钱
投资网站ADVFN.com首席执行官Clem Chambers近日发文解释为何比特币是金钱。他指出,比特币和其他加密货币是一种有效的交换媒介、价值储存和账户单位。他还提到,比特币的营业时间是24/7/365,而银行系统不是。
币快报
2小时前
济南高新区智慧高新建设办公室主任:区块链是解决信息真实传递等问题最合适的技术
据齐鲁晚报报道,济南高新区智慧高新建设办公室主任陈波说,高新区用区块链技术存储、传递电子证照,不是区块链技术有多时髦,而是在解决信息真实传递、数字证照库自动扩展等问题上,区块链是最简单,最经济,也是最合适的技术。
币快报
2小时前
币世界24小时行情梳理:BTC晚间冲高回落 现于3620美元附近震荡
BTC今日早间在3630美元附近震荡调整,晚间18时开始震荡上行,最高涨至3699美元后回落,现于3620美元调整。币安现报3621.72美元,24小时跌幅0.37%。 1. 全球数字货币市场总值现报1213.09亿美元,环比下降0.02%;24h成交量报204.68亿美元,环比增加12.2%。 2. 主流币表现如下:ETH(+2.36%)、XRP(-0.39%)、BCH(-0.95%)、BSV(-0.67%)、LTC(-2.32%)、ETC(-0.72%)、EOS(-1.07%)。 3. 市值前百币种涨幅前三:ARK(+74.02%)、GAS(+39.91%)、STORJ(+35.24%);市值前百币种跌幅前三:MCO(-12.47%)、HOT(-8.20%)、ELF(-5.57%)。 4. 24小时资金流入前五个币种:ETH(+5064.14万美元)、BTC(+940.55万美元)、NEO(+420.77万美元)、ABBC(+189.37万美元)、GAS(+164.98万美元);24小时资金流出前五个币种:BZ(-1810.91万美元)、EOS(-827.06万美元)、AE(-171.97万美元)、OMG(-163.36万美元)、ZEC(-138.59万美元)。 5. 24小时火币全球站净流出670.19万美元,OKEx净流入4903万美元,币安净流出1531万美元。
币世界
2小时前
区块链创业公司推出新产品帮助以太坊应用链接实际数据
据CoinDesk消息,区块链创业公司推出基于区块链的oracle服务,该服务将支持货币对、资产定价和区块链网络数据,可以帮助以太坊应用程序链接到实际数据。该产品可以被ETHDenver黑客马拉松开发者免费使用。
币世界
2小时前
基于云计算的服务平台ChainFront宣布支持XRP和ETH
据Sludgefeed消息,2月15日,基于云计算的API即服务平台ChainFront宣布支持Ripple(XRP)和Ethereum(ETH)。据悉,ChainFront允许开发人员构建和管理加密应用程序。
币世界
3小时前
ChaiNext:LTC发生大额转账
2019-02-17 23:23:39,LTC发生大额转账交易,数量82295.6。
详情:https://live.blockcypher.com/ltc/tx/a4c86e2721d06efdd8affd00225f2b862e9204704ba62821e8aa23b4ddf59005
ChaiNext
3小时前
一凡谈币:窄幅双爆后将如何定位趋势?
币快报特约分析师一凡谈币认为,晚上早点的时候主力在3600-3700之间上下插针,再度完成了双爆合约单的操作,很多人纳闷为何主力这么喜欢爆合约单,大家可以去看看最近一凡一直提到的多空持仓比例就知道,主力做这件事的收获是有多大。目前整体行情我们依旧定义为弱势震荡,只要一天没真正去站稳3650,说明行情弱势。3600以上行情暂时健康,具体根据我们群内提示操作即可!喜欢的关注微信公众号:一凡谈币(以上仅代表作者观点,与币快报无关)
币快报
3小时前
西班牙央行:作为支付系统比特币效率低下
据Bitcoinist消息,西班牙中央银行Banco de España(BDE)发布一份报告称,作为支付系统,比特币效率低下。报告称,这是因为权力下放需要在强化验证的过程方面消耗资源。相反,具有各方信任的中介集中系统允许设计更简单、更便宜的系统。同时,该报告分析了比特币的本质属性,并解释称这会形成一个过于复杂的支付系统。并将分散化和缺乏中间媒介等属性认为是对大规模价值交换的限制。
币世界
3小时前
Cardano将于4月推出新的路线图 详细介绍Cardano 2020
据Chepicap.com消息,Cardano的创始公司IOHK宣布,在4月17日至18日举办IOHK峰会之后将发布新的路线图,详细说明Cardano 2020愿景。
币世界
3小时前
分析师看后市2月17日:2位看涨3位看平
今日有5位币圈分析师对BTC明日走势进行了判断,其中2位看涨3位看平。昨日仅有1位分析师判断准确,准确率为1/8。 2019年1月分析师看后市准确率前两名为:子夜币谈60%、丹布朗·卡卡57%。 1.看涨 @数字货币趋势狂人:BTC消磨一段时间后,或许会再度上攻60日线,能不能上攻成功,那就要看量能情况了,从现在走势来看,市场有望再度进入反弹行情,空头的无力会让休息已久的多头出现反扑,短期内只要出现单小时放量突破60日线(3650美元),可做追高的操作。 @币橙评测:BTC今日上冲未果,短线可能有回调震荡需求,但在日线跌破上升通道前,仍然以短多思路为主。操作建议:观望。 2.看平 @子夜币谈:局部小币种会有拉升,不要轻易追高。操作建议:四成仓位观望。 @丹布朗·卡卡:夜盘即使下去也会有回升。操作建议:3550-3700区间震荡,高抛低吸。 @币世界多空指南针:1小时操作建议为卖出,4小时操作建议为中立。注:多空指南可在《币世界》行情币种详情页查询。 (以上观点为分析师个人建议,不构成任何投资意向,仅供参考。)
币世界
4小时前
CFTC就虚拟货币监管寻求公众意见 澳本聪回复再强调中本聪身份
据美国商品期货交易委员会(CFTC)官网消息,为了解虚拟货币相关知识和技术、以便更好监管虚拟货币市场,CFTC金融科技创新中心LabCFTC于2月15日向公众征询意见和反馈。对此,澳本聪在其官网上回复并提供有关加密机制和市场的资料时,再次强调自己是中本聪,并提及BlackNet项目。澳本聪称,该系统在某种程度上是为杜绝欺诈而设计的,这是任何技术都无法做到的。但对区块链的功能缺乏了解导致了错误信息和骗局的广泛传播。
币快报
4小时前
边玩游戏边赢保时捷(BSJ) ,是时候展现真正的技术了!
币世界保时捷(BSJ)还没拿够?快来边玩游戏边赚保时捷(BSJ),每次通关挑战成功即可获得66BSJ,挑战分值排名前10名最高可获得1888BSJ。要赢保时捷,快点击币世界APP“币圈-推荐-第一条帖子”立即参与。
币世界
4小时前
ShapeShift即将开放新平台测试期
据coindesk消息,加密创业公司ShapeShift计划在今年做出重大转型。ShapeShift首席执行官Erik Voorhees在本周末在科罗拉多举行的以太坊开发者大会ETHDenver上宣布,从周一开始,该公司将为特定用户开放一个封闭的测试期,以便他们可以尝试新版的加密货币交换平台,优化用户体验。
币世界
4小时前
币世界明日看点:日本虚拟货币纳税申报
1.日本财政部虚拟货币年度交易纳税申报将于2月18日开始,截至3月15日结束。 2.KuCoin平台2.0升级将于2月18日8:00进行,预计将停止服务约14小时。 3.0x(ZRX)社区将于2月18日开始ZEIP23提案投票。 4.Ethereum Classic(ETC)旗下开发团队ETCLabs将于2月18日在旧金山举行见面会。
币世界
4小时前
市值前百币种56涨44跌
据coinmarketcap数据显示,目前市值前百币种中56涨44跌,其中ETH以1.82%的涨幅领涨市值前十主流币种。涨幅前三的币种分别为GAS(+55.48%),STORJ(+39.30%)及ARK(+13.34%);跌幅前三的币种为HOT(-6.05%),AOA(-5.01%)和BTG(-4.61%)。
陀螺财经
4小时前
Morgan Creek创始人:比特币正在成为全球储备货币
小葱APP讯,Morgan Creek Digital创始人Anthony Pompliano发推表示,主权国家已经开始用比特币结算交易。不要眨眼。比特币正在我们眼前成为全球储备货币。
小葱APP
4小时前
法国电力公司在伦敦南部推出区块链太阳能+储能P2P交易试点
据报道,近日,随着法国电力公司(EDF)支持的区块链试点项目启动,伦敦南部一个住宅小区的消费者很快就能在彼此之间进行太阳能交易。区块链技术将用于跟踪和追踪电力交易的目的,居民通过一个面向消费者的应用程序访问交易平台和请求电力。该项目将于下个月开始,一直持续到2019年10月。
陀螺财经
4小时前
“小葱历”提醒您
2月18日(周一)请重点关注(以下均为北京时间): ① KuCoin将于8:00进行平台2.0升级。 更多信息请见小葱APP日历板块。
小葱APP