DAP:復盤數十萬 EOS 被盜過程，背后是其架構設計缺陷？_dapp幣價格

北京時間2018年12月19日凌晨，EOS網絡中，包括BetDice在內的數個游戲DApp遭受黑客攻擊，損失數十萬枚EOS通證。

TokenInsight認為本次事件是由于部分游戲DApp為增強游戲體驗，在自建節點中運行DApp，導致鏈上數據同步時出現錯誤。

因為部分代碼和數據未被公開，攻擊的重現難度較高。據推演，黑客可能的攻擊手段如下：

EOS被盜流程推演圖

來源：TokenInsight

主力數據復盤：火幣BTC主力在拉升前開多近3000萬美元:AICoin PRO版K線主力大單跟蹤顯示：剛剛，比特幣現貨價格拉升至最高11500美元。拉升前，火幣BTC當季合約大額委托單頻繁出現并成交。其中，一共成交20筆，價值近3000萬美元的大額委托買單。

AI-PD-持倉差值在大部分大額委托買單的成交過程中為較高綠柱，即持倉量增加明顯，可判斷為買入開多。[2020/8/27]

1、黑客向DApp發送參與游戲的請求；

2、黑客直接向BP節點發送取消游戲的請求，或使賬戶余額不足而導致轉賬失敗；

復盤：又是幣安主力先動的手，現貨遭大量拋售:AICoin PRO版K線主力成交數據顯示：過去24小時，比特幣價格從6900美元上方跌至最低6468美元。其中，幣安BTC現貨在15日18:30分率先出現主力賣出大單成交。18:20~20:20間，共計有16筆，899.51枚BTC大單賣出成交； 隨后，火幣BTC現貨開始掛起賣出委單，15日19:40--16日00:15，共有3筆，掛賣量2113.82枚BTC的大額委托賣單出現并成交2131.97BTC。 今晨05:45-09:05的第二次下挫中，同樣是幣安率先出現主力賣出大單成交，共計有21筆，1666.8枚BTC。 請密切留意幣安及火幣的主力動向。[2020/4/16]

3、DApp將黑客的游戲請求發送至BP節點，并在自建節點上運行黑客的游戲結果，若運算出玩家勝利的結果，則向BP節點發送給予玩家獎勵的請求；

動態 | EOS備選節點CryptoLions復盤叢林測試網遭受攻擊全過程:EOS備選節點CryptoLions發文，復盤了叢林測試網遭受攻擊和恢復的過程。攻擊者濫用叢林測試網的faucet，用測試網上的代幣投票給不生產區塊的節點，從而導致測試網罷工。CryptoLions提到，這次攻擊不會發生在EOS主網上，因為EOS主網沒有faucet。[2018/9/11]

4、BP節點先后收到「黑客取消游戲」請求、「DApp發送游戲」請求、「DApp給予游戲獎勵」請求。因為時間順序和轉賬沖突的原因，「黑客取消游戲」請求被執行，而「DApp發送游戲」請求執行失敗，「DApp給予游戲獎勵」請求被執行。

5、黑客收到DApp的轉賬，一次攻擊完成。

首先，應對該種攻擊手段，可將DApp讀取的狀態數據改為read-only模式，read-only模式下數據庫包含傳入區塊的更改，但不影響speculative交易處理。

此外，關于此次EOS的安全事件，AnChainCEOVictor指出，AnChain在Ethereum以及EOS有關安全的問題上有著較豐富的經驗與技術積累，并且也提供有關代碼的安全檢測服務，這次的安全事件是完全可以避免的。比如，DApp可以使用ref_block功能，在給玩家發放獎勵前，判斷用戶是否真的轉賬成功。同時，Victor還指出，這個安全問題背后還暴露出了在EOS中更加嚴重的問題，相較于其他部分公有鏈，EOS區塊鏈并不記錄失敗的交易，瀏覽器也無法查詢，這是EOS在架構設計方面的缺陷。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

TokenInsight

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627096.html

EOS柚子

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

慢霧：破解造成BetDice項目恐慌的交易回滾攻擊手法

下一篇：

知道創宇攜手中信云合作案例獲評「2018企業服務案例TOP50」

Tags：EOSAPPDAPPDAPEOS INFINITY非小號交易所app官網dapp幣價格DAPP幣

ICP