APP:復盤數十萬 EOS 被盜過程，背后是其架構設計缺陷？_LEOS價格

北京時間2018年12月19日凌晨，EOS網絡中，包括BetDice在內的數個游戲DApp遭受黑客攻擊，損失數十萬枚EOS通證。

TokenInsight認為本次事件是由于部分游戲DApp為增強游戲體驗，在自建節點中運行DApp，導致鏈上數據同步時出現錯誤。

因為部分代碼和數據未被公開，攻擊的重現難度較高。據推演，黑客可能的攻擊手段如下：

EOS被盜流程推演圖

來源：TokenInsight

BitMax交易員hedeng：形成自己的交易策略一定要復盤:6月5日，BitMax金牌帶單員、諧波交易藝術家hedeng做客BitMax合約大咖說第2期，主題為《如何用諧波交易策略月賺13萬USDT》。

hedeng表示，構建自己的交易策略一定要復盤，記錄開單原因，止盈止損，不要報復性開單，最重要的是要靠實盤磨練。對于今年下半年的行情hedeng認為，從技術分析角度來看BTC可以漲到3萬。[2020/6/5]

1、黑客向DApp發送參與游戲的請求；

主力成交復盤：幣安1024枚BTC主力賣出引發瀑布:AICoin PRO版K線秒級周期及主力成交數據顯示：今天10:32:02秒，幣安BTC/USDT交易對有一筆數量為1024.37BTC，價格為9550.99美元的主動賣出，最終賣出滑點-179.39美元。該筆大額主動賣出為此輪瀑布中多個平臺里第一筆大額賣出，隨后市場跟隨下跌至最低9256美元。[2020/5/15]

2、黑客直接向BP節點發送取消游戲的請求，或使賬戶余額不足而導致轉賬失敗；

復盤：405萬張主力賣出后價格迅速回落:AICoin PRO版K線主力成交數據顯示：BitMEX XBT永續合約從4月23日23:00至今在小時周期中做上漲中繼平臺。

10:05分，價格接近平臺上沿壓力線，并突破。突破后，并無主力買入單子跟進，相反有2筆，共計405.97萬美元的主力賣出單子。因此可判斷為假突破，隨后價格迅速回調，最高點最低點相差近200美元。 當前，價格仍然比較接近上沿線，請密切留意主力成交情況。[2020/4/29]

3、DApp將黑客的游戲請求發送至BP節點，并在自建節點上運行黑客的游戲結果，若運算出玩家勝利的結果，則向BP節點發送給予玩家獎勵的請求；

4、BP節點先后收到「黑客取消游戲」請求、「DApp發送游戲」請求、「DApp給予游戲獎勵」請求。因為時間順序和轉賬沖突的原因，「黑客取消游戲」請求被執行，而「DApp發送游戲」請求執行失敗，「DApp給予游戲獎勵」請求被執行。

5、黑客收到DApp的轉賬，一次攻擊完成。

首先，應對該種攻擊手段，可將DApp讀取的狀態數據改為read-only模式，read-only模式下數據庫包含傳入區塊的更改，但不影響speculative交易處理。

此外，關于此次EOS的安全事件，AnChainCEOVictor指出，AnChain在Ethereum以及EOS有關安全的問題上有著較豐富的經驗與技術積累，并且也提供有關代碼的安全檢測服務，這次的安全事件是完全可以避免的。比如，DApp可以使用ref_block功能，在給玩家發放獎勵前，判斷用戶是否真的轉賬成功。同時，Victor還指出，這個安全問題背后還暴露出了在EOS中更加嚴重的問題，相較于其他部分公有鏈，EOS區塊鏈并不記錄失敗的交易，瀏覽器也無法查詢，這是EOS在架構設計方面的缺陷。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

TokenInsight

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627096.html

EOS柚子

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

慢霧：破解造成BetDice項目恐慌的交易回滾攻擊手法

下一篇：

知道創宇攜手中信云合作案例獲評「2018企業服務案例TOP50」

Tags：APPDAPDAPPEOSdapp幣交易DAPEPE價格dapp幣怎么從錢包提到交易所LEOS價格

AAVE