買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > MATIC > Info

APP:EOS DApp 已成黑客提款機?慢霧安全團隊支招_eos幣有價值嗎

Author:

Time:1900/1/1 0:00:00

文章來源:慢霧科技作者:唐飛虎

本文盤點了近期EOSDapps上影響較大的安全事件以及漏洞解讀,同時以開發者的角度對EOS生態和「CodeisLaw」進行點評,嚴格執行Codeislaw,會增加用戶監督門檻,開發者故意埋下漏洞的行為也難以譴責追訴。而過分的人治,又會成為民粹的溫床,打擊開發者審計合約的動力。

自主網上線以來,一場最大型的EOS合約漏洞攻擊正在上演且追隨者無數,涉及到的項目包括EOSBet、newdex等眾多頭部項目,項目方累計損失11萬個EOS。目前尚不能判斷這一系列事件是由一人還是多人所為,主要涉及到的賬號包括:「guydgnjygige」,「imeosmainnet」,「iloveloveeos」,「aabbccddeefg」及眾多疑似小號,如「chinasichuan」,「cityhangzhou」,「cityhongkong」,「guangxichina」,「guydgnjygige」,「lloolloolloo」,「meadwestvaco」,「nbcuniversal」,「ooooo11ooooo」,「shunwanggame」,「sichuanchina」,「surveymonkey」,「wolframalpha」,「slowmistsafe」,「helloboy1234」...

第一個中招的游戲-https://luckyos.io/

主要涉及到的黑客賬號「guydgnjygige」。該賬號創建于6月9日,最初以0.0001EOS的小額轉賬附帶Memo打廣告的形式,推廣一款叫EOSGameWorld的山寨FOMO3D的游戲。https://gameworldeos.github.io/該網站現已停運,網站的社交媒體鏈接已導向dapp.pub。

Beosin發現Move VM嚴重級別漏洞:金色財經報道,近日,區塊鏈安全公司Beosin發現Move VM嚴重級別漏洞。Beosin安全研究團隊在Move虛擬機中發現了一個沒有限制遞歸調用深度而導致的棧溢出漏洞,這個漏洞可以導致整個網絡崩潰(total network shutdown),還會讓新的validator節點無法加入到網絡中,甚至有可能導致硬分叉(hard fork)。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影響。目前該漏洞已被官方修復。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修復了此漏洞。[2023/6/15 21:37:59]

后期該賬號主要投注各類骰子、樂透類菠菜項目,并通過預測各項目的隨機數產生,產生收益。

8月27日,Luckyos旗下的石頭剪刀布游戲被成功攻破。

該黑客找到了剪刀的隨機數產生規律,于是通過持續在指定時間出石頭,來贏得獎勵,并指出有38%的概率獲勝。

自此,該黑客對破解其他菠菜游戲產生了濃厚的興趣,不斷的嘗試挑戰破解新的游戲,并通過小額轉賬Memo指點了http://rollgame.github.io的開發者。

第二個中招的游戲-DEOSBET

10日,黑客又利用類似的漏洞,攻擊了DEOSBET,并且連續贏了24次,累計接近2.4萬美元。

第三個中招的游戲-EOSHappySlot

https://happyeosslot.com/

主要涉及到的黑客賬號imeosmainnet。

EOS突破4.6美元關口 日內漲幅為6.52%:火幣全球站數據顯示,EOS短線上漲,突破4.6美元關口,現報4.6011美元,日內漲幅達到6.52%,行情波動較大,請做好風險控制。[2021/2/12 19:35:11]

另一名賬號為imeosmainnet的黑客對HappyEosSlot老虎機項目的攻擊是在9月12日凌晨,利用重放攻擊,導致項目方損失了5000個EOS。

攻擊方法是黑客首先賭了較小的金額,并在transfer方法中加入了鉤子開關,transfer過程可以被黑客預留的鉤子中斷,所以reveal被卡死,當reveal被卡死時候,并且這時候bet是仍然可以被調用的,重放攻擊就成立了。黑客選擇默認關閉開關,當檢測到得到五倍以上的開獎金額之后,就再發一筆數額較大的金額,并開啟開關,從而每一次都可以獲得數倍的回報。

由于happyeosslot使用了一種新的智能股權協議,項目的盈虧會直接作用在幣價上,在收到黑客攻擊之后,happyeosslot的企業經營系數也是隨之降低到了0.1。

有趣的是,老虎機小游戲https://www.luckywith.me/slots大部分參考了HappyEOSSlot的合約代碼,而在Happy家被黑客imeosmainnet攻擊的前兩個小時,Lucky家突然暫停了旗下的老虎機項目。Lucky家的官方解釋是EOS主網節點波動嚴重,等主網穩定后再開放。直至發稿,Lucky家的老虎機仍未重新上線。

而黑客imeosmainnet非法獲得了EOS之后,立刻轉入了fcoin交易所。黑客的最初幾筆資金來自火幣和zb兌換中心。但從記錄表明,并未看出imeosmainnet與guydgnjygige的關系,可以猜測,這兩個賬號背后是不同的人。

EOS在2分鐘內漲幅超過1.00%:據火幣全球站數據顯示,EOS/USDT在2分鐘內出現劇烈波動,漲超1.00%,達到1.15%。當前報價為 2.20 美元,行情波動較大,請注意風險控制。[2020/3/12]

該項目目前已經重新上線。

第四個中招的游戲-FairDice

https://dapp.pub/dice/

主要涉及到的黑客賬號iloveloveeos。

繼Happy家失竊,一眾程序員正夸贊dapp.pub旗下的FairDice的代碼并潛心學習的時候,突然發現黑客也開始對Fairdice下手,并已成功了幾筆。

這一次攻擊的手法也是重放攻擊,由于FairDice的隨機數算法和時間相關,因此多次同一筆下注在不同時間開獎可以獲得不同的結果,黑客正是利用了這一點,拒絕了所有失敗的開獎結果,從而可以讓自己的下注總是獲勝。

https://www.reddit.com/r/eos/comments/9f5o6a/dapppubfairdice_version_2_is_back_an_opensourced/Fair的代碼增加了安全機制,每次獲勝的金額不得超過合約獎池的1%,并且我們發現及時,立即Call醒了開發者,才沒有讓損失繼續擴大。

第五個中招的游戲,也是損失最慘重的-EOSBet

主要涉及到的黑客賬號aabbccddeefg。

EOSBet是建立在EOS上的一個擲骰子的DApp,被攻擊時在DAppRadar上排名第四。七日交易量約860萬EOS,交易筆數137萬余筆。

EOSBet項目尚未開源,卻也難逃離攻擊。9月14日上午11點左右,aabbccddeefg在未進行投注的情況下,卻以中獎的方式,在20多分鐘的時間內,贏得了4.2萬個EOS(總價值約為150萬人民幣)及投注產生的1千多個平臺代幣BET。據分析,EOSBet被攻擊,是因為代碼中并沒有檢查收到的EOS是不是eosio.token產生的EOS,黑客通過自己創建的名字同為EOS的「假幣」,套取了真的EOS。

EOS在1小時內跌幅超過3.00%:據火幣全球站數據顯示,EOS/USDT在1小時內出現劇烈波動,跌超3.00%,達到-3.12%。當前報價為 3.48 美元,行情波動較大,請注意風險控制。[2020/2/28]

在獲得了EOS之后,黑客分別給guydgnjygige和cctvworldcup兩個賬號各轉賬了1萬個EOS。

第六個中招的游戲-EOS.win/dice隨后相同手法又被用在了EOS.win上,導致各項目方產生驚恐,紛紛關閉了自己的項目。

第七個中招的是去中心化交易所-newdex

主要涉及到的黑客賬號oo1122334455。

9月14日下午兩點,EOS賬戶“oo1122334455”用同樣方法發行了10億個EOS假幣,分配給了dapphub12345賬戶,再由dapphub12345轉賬給了iambillgates賬戶,并利用假EOS掛單進行幣幣交易,委托買入IPOS、BLACK、IQ、ADD,并轉給xx1234512345和x12345x12345,最終由xx1234512345將非法得來的Token掛單賣得4千多個EOS,并充值到Bitfinex。

整個黑客攻擊事件最無奈的便是,作為一個去中心化的交易所,在遭遇了假幣之后,不得不通過中心化的手段來強制下架了交易對。此次事件,共造成了Newdex用戶11803個EOS損失。

賬戶安全提醒

事件發生后,大家紛紛通過轉賬時的Memo,給黑客賬號留言致敬或蹭黑客賬號熱點來發布小廣告。

更有詐騙賬號假裝EOSBet官方,不斷的向黑客賬號發出索賠要求。

點評EOS生態

分析 | ConsenSys:EOS區塊鏈未能滿足承諾:據ethnews報道,根據由ConsenSys項目負責人Brent Xu領導,區塊鏈測試平臺Whiteblock完成的一項研究顯示,EOS區塊鏈可能無法滿足其向投資者所承諾的。該研究稱,即使在最佳設置即延遲為0ms,丟包率為0%的的情況下,系統中的事務吞吐量也不會超過250TPS。在實際測試條件下,往返延遲為50ms,丟包率為0.01%,性能降至50TPS以下,使EOS系統與以太坊的性能非常接近。此外,該研究還質疑EOS網絡的透明度和平臺治理的問題。[2018/11/7]

EOS自主網上線兩個多月以來因其TPS超越各大主流公鏈而受到dapp開發者的青睞。EOS上的dapp數量也呈現井噴式增長。EOS公鏈本身的安全性,以及合約開發如何設計安全規范,也越來越引起開發者的重視。

「擲骰子」可以視作dapp開發的最小可用模型,而這次黑客攻擊事件,將EOS開發者生態不健全的問題翻到了臺面。如果這類dapp的安全性都不能保證,大家暢想的killerdapp更是無從談起。目前EOS上幾乎每一個類似項目都受到了不同程度的攻擊。一方面是EOS合約的表達能力較強,使得很多開發者對可能存在的漏洞缺乏全面的考慮,另一方面是開發者剛剛進入這個領域,缺少必要的安全攻防經驗。EOS合約開發者們各自為陣,大部分項目方為了安全起見選擇不開源,而實際的結果只能是掩耳盜鈴。黑客往往能夠根據wasm和abi文件還原出合約的信息,很多時候封閉的代碼只會隱藏自己的錯誤反而給黑客可乘之機。EOS上目前也缺乏一些類似ERC20和OpenZepplin這樣的標準庫,來給開發者提供一些合約設計上的參考。

作為EOSDapp開發者,不僅要自掏腰包購買ram,帶寬,辛苦踩坑。合約上線后還面臨著被用戶維權,被黑客薅,被BP丟塊。最后還可能面臨著被BM降維打擊的風險。可以說是生態中最苦逼的一波人。

截止目前,黑客還有一些攻擊手法沒有被完全揭示,黑客可能還留藏著一些底牌,等待項目做大之后再使用,以下是我們總結的一些給Dapp開發者的忠告:

跟隨社區的忠告,當友商被攻擊時及時update信息,確認自己的合約是否有類似的漏洞。

添加風控功能,防止黑客在短時間內盜取大量EOS。

總是使用defertranscation,阻止黑客的鉤子攻擊。

種子只使用一次,避免被重放攻擊。

EOS核心仲裁法庭(ECAF)

EOS在社區治理方面與以太坊等區塊鏈有很大的不同,率先創建了仲裁法庭機制來服務于社區,作為社區的日常管理。當出現爭議時,社區成員便可以向ECAF提出訴求,等待社區仲裁。

仲裁員通常由社區公民投票任命,而撤銷仲裁員的任命需要三大權力機構中的兩方批準方可執行。一般情況下一個案件僅指定一名仲裁員,而特殊情況則需由一名高級仲裁員領導的三人小組進行審理。

任何社區成員都可以在線上提交仲裁申請,https://eoscorearbitration.io/file-a-claim/,并按照案件涉及的損失金額來支付仲裁費用。目前法庭裁決過的申請主要為盜取賬號進行非法轉賬,申請人需要提供自己擁有該賬號的證明,其他賬號進行了非法轉賬的證據。這類案件尚不能直接追回損失,法庭的裁決只是對非法賬號進行凍結,所有BP不再執行與該賬號相關的任何操作。

所有案件中,大家最關心的便是前段時間出事的區塊鏈游戲EOS狼人殺了,該項目團隊于7月26日及7月29日分別發布了兩個聲明,聲稱被黑客eosfomoplay1非法盜取60686.4190EOS,并建議中獎者guztknrygqge通過EOS核心仲裁法庭申請仲裁。該事件一直被外界認為是狼人殺團隊監守自盜的行為,認為eosfomoplay1的黑客賬號屬于狼人殺團隊。

該案件在ECAF的案件編號是#ECAF00000339,緊急處理的結果是所有BP不再執行eosfomoplay1賬號以及與其公鑰私鑰相關的任何交易,即凍結該賬號,等待案件的進一步審查。

截止目前,該賬號非法所得的EOS依舊凍結在其中,理論上講,如果證據確鑿,且ECAF通過裁決,判斷這筆EOS應轉入給受害者,是可以追回的。只不過目前尚未有過成功追討的案例。另一個例子是,Happyeosslot就曾經將合約抵押貸款refund返回的eos當成是開獎,從而給eosio.stack賬戶開出過一筆大獎:https://github.com/EOSIO/eos/issues/5480

CodeisLaw?代碼是項目的骨架和齒輪,盡管各個項目的目標或許是做最公平的Gambling、或許是為了盈利賺大錢;盡管各個項目對外有著明確的玩法規則,但撥開外衣,最本質客觀的規則還是運行在各個節點機器上的代碼。

從道德上來講,黑客攻擊了項目合約轉走了「非法」所得;但從代碼這一「規則」角度,黑客的攻擊,也可以視作合約所允許的一種「玩法」,黑客精妙地發掘了「裏メニュー」,并贏得了「獎勵」。

「立法」總會落后于現實。規則是死的,而人總是會犯錯,因此我們需要累積前人智慧作為指導。

由于代碼的知識門檻,嚴格執行Codeislaw,會增加用戶監督門檻,開發者故意埋下漏洞的行為也難以譴責追訴。而過分的人治,又會成為民粹的溫床,打擊開發者審計合約的動力。

從整個公鏈的利益考慮,此次的黑客攻擊,雖然慘痛,但仲裁法庭不應該干涉,而是應該敦促制定一套安全標準,規范未來項目的開發;也讓ECAF真正成為生態的重要一環。

我們一直希望開源能夠讓世界變得更好,這是因為我們相信透明的機制的力量,相信透明的規則能夠讓信任的成本降到最低,讓合作的效率變得更高。而基于客觀規則的行為,如果因此受到懲罰,那么無疑會助長更多對規則的破壞和不公正的行為。但我們也支持在現在生態還處于比較原始的階段,仲裁法庭利用自身的專業知識一起構建更安全的規則,維護廣大用戶群體的利益,讓EOS公鏈的生態變得更好。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627032.html

EOS柚子

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

韓國利用三星區塊鏈技術打擊海關詐騙

Tags:EOSAPPDAPDAPPeos幣有價值嗎Wrapped Basic CryptoKittiesDapper幣區塊鏈dapp開發白富美

MATIC
區塊鏈:新京報:在區塊鏈技術加持下,數據孤島會是個“偽命題”_科技股

但如何實現城市間各部位數據的共享呢?這又是個令人懊惱的問題。無論是企業或是政府各部門,對數據共享缺乏足夠的動力。數據被視為數字時代的石油,每家企業都想守著自己的數據挖掘出巨大的商業價值.

1900/1/1 0:00:00
LABS:WAPC(蛙幣)5月28日即將上線BihuEx平臺_APC

尊敬的BihuEx用戶:幣虎全球交易所將于新加坡時間2019年5月28日上線WAPC/蛙幣 上線時間: 開放充值時間:2019年5月26日10:00AM開放交易時間:2019年5月28日10:0.

1900/1/1 0:00:00
FOR:FOne部分幣種退市公告_MOA Platform

項目方及社區用戶: FOne部分幣種因流動性低下,平臺將于2019年5月22號下線相關交易對,同時關閉充值通道,提現通道將在2019年6月20號關閉.

1900/1/1 0:00:00
PID:上幣公告丨RPZ上線幣客BITKER交易所公告_metadao幣怎么樣

RPZ上線幣客BITKER交易所公告尊敬的BITKER用戶:經RPZ運營團隊申請,BITKER審核通過,RPZ即將在10月上線幣客BTC,USDT交易區.

1900/1/1 0:00:00
RON:前腳 TronBANK 被盜,后腳 TronKDD 跑路,波場 DApp 安全如何保障?_EOS

本生態周排行榜跨ETH、EOS、TRON、IOST四條公鏈,從7日活躍用戶、7日交易額、7日交易量三個維度呈現數據,并以用戶量為核心維度進行排名.

1900/1/1 0:00:00
WWW:馬化騰談區塊鏈:每家公司發行數字貨幣很危險_數字貨幣

3月21日,馬化騰在騰訊業績說明會上表示,區塊鏈是個熱門話題,大家都在談,很多游戲公司在發數字貨幣,誰都能發一個貨幣是一件很危險的事情,騰訊不會發.

1900/1/1 0:00:00
ads