12月05日,新上線的又一款EOS競猜類游戲Fastwin遭到黑客攻擊,區塊鏈安全公司PeckShield態勢感知平臺捕捉到了該攻擊行為并率先進行了安全播報披露。數據顯示,當天凌晨03:18—04:15之間,黑客向Fastwin游戲合約發起124次攻擊,共計獲利1,929.17個EOS。PeckShield安全人員分析發現,該攻擊行為是黑客利用Fastwin的合約在校驗合約調用方時存在的漏洞,導致「內聯反射」攻擊成功。
據研究,截止11月底,已經發生了超27起EOSDApp安全事件,主要集中在假EOS攻擊、隨機數問題等攻擊方式,且在不斷升級演變。而這次看似較小的攻擊事件背后卻暴露出了一個較以往危害性可能更大的新型漏洞:EOSIO官方系統對調用合約自身函數存在不校驗權限的問題。
動態 | 競猜類游戲BitDice遭黑客假EOS攻擊:今天早晨06:40-06:50之間,PeckShield安全盾風控平臺DAppShield監測到黑客向競猜類游戲BitDice發起連續攻擊,獲利四千多EOS,并已轉至EXMO、ChangeNOW等多家交易所。PeckShield安全人員追蹤鏈上數據分析發現,黑客采用的是“假EOS”攻擊手段。PeckShield安全人員在此提醒,開發者應在合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/10/12]
圖一,PeckShield與Block.one郵件溝通
聲音 | PeckShield硅谷研發中心負責人Jeff: 競猜類DApp鏈上隨機數機制存在根本缺陷:在談到為何EOS競猜類游戲很難免疫“交易阻塞攻擊”(CVE-2019-6199)時,PeckShield硅谷研發中心負責人Jeff坦言:“所有競猜類游戲基本都包含隨機數的游戲機制,但本質上隨機數和區塊鏈網絡要求所有分布式節點運算結果保持一致存在內在矛盾。現有隨機數解決方案(鏈上開獎)都采用的是鏈上數據(可能加上了未來等時間因素),一定程度上可以實現偽隨機,但黑客可以搶先算出結果進而實現攻擊。所以,建議所有采用鏈上開獎機制的競猜類DApp務必高度重視“交易阻塞攻擊”潛在的安全風險,在根本解決方案找到之前,應采用block.one官方推薦的隨機數生成方案(包含鏈下隨機種子),做好安全布控或搭建風控系統,排查潛在被攻擊的風險。[2019/1/17]
PeckShield認為這是一個非常嚴重的漏洞,并第一時間通知了Block.one團隊。Block.one官方團隊接受了該漏洞提議,并告知我們有其他研究團隊也事先獨立匯報了該漏洞,最終于周四更新了緊急補丁以補救防御,同時次日新發布1.5.1和1.4.5兩個版本,完成了該漏洞修復,避免了更多攻擊事件的發生及可能造成的資產損失。
動態 | 競猜類DApp安全形勢嚴峻:11月6日,IMEOS.ONE聯合百家媒體發布了“EOS平臺-DApp生態數據分析報告”,報告指出,新進場用戶攜大量資金助推了競猜類DApp的大火,但EOS競猜類智能合約的安全形勢極為嚴峻。錢包作為EOS的生態入口,繁榮了EOS DApp的發展。礦工產業對DApp項目方和EOS生態造成了深遠影響,顛覆了此前區塊鏈項目的運作方式,而礦工某種程度上甚至站立在DApp項目方和EOS用戶的對立面。項目方利潤被礦工和羊毛黨瓜分,而Token持倉比例越集中,風險越大。[2018/11/7]
「內聯反射(inlineReflex)」攻擊原理
正常的轉賬流程如圖所示:玩家通過調用系統合約(eosio.token),將EOS轉賬給游戲合約,觸發游戲合約的分發邏輯(apply),進而調用相關函數實現開獎。
圖二,競猜游戲正常轉賬流程
而此次的攻擊者(ha4tsojigyge),在自己帳號部署的合約中包含了與游戲合約相同的操作函數,在轉賬完成后,自行開獎獲得獎金。如圖所示:
圖三,攻擊者內聯調用自身合約開獎
從圖中可以看出,攻擊者在自身合約的函數中,內聯調用了與游戲合約開獎同名的函數,再通過通知的方式將信息發送到了游戲合約。此時游戲合約的分發邏輯沒有過濾掉此信息,并調用了開獎函數。
總之,攻擊者利用了EOSIO系統中對調用合約自身函數不校驗權限的漏洞,進而使用游戲合約的帳號權限發起內聯調用,致使繞過游戲合約在敏感函數中校驗調用者權限的方法,從而獲取了游戲合約發放的獎勵。
修復方法
從上述分析能夠發現,攻擊者合約的通知信息中,實際調用的合約是攻擊者合約,而非游戲合約,因此在游戲合約的分發邏輯中過濾掉此類信息即可。而且從系統定義的宏中能夠看到,分發邏輯處理了此問題。因此PeckShield在此提醒開發者在定制化自己的分發邏輯時,需要特別注意其中的調用來源。
圖四,系統EOSIO_DISPATCH代碼
深層次及兼容性問題
需要強調的是:這個問題屬于EOS公鏈層的較大漏洞,攻擊者在內聯調用中可以偽造任意帳號的權限執行,但這個修復可能會給部分開發者造成兼容性問題,如合約內聯調用函數,而執行者帳號不是自己的時候,會導致整個交易執行失敗,如需解決兼容性問題請給合約賦予執行者帳號的eosio.code權限。
本文來源于非小號媒體平臺:
PeckShield
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627092.html
游戲鏈游
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
區塊鏈如何助力數據共享隱私保護?
Tags:EOSELDSHIAPPeos幣為什么漲不起來Yield Guild Gamesshibdao幣價格今日行情蘋果幣圈app下載
北京時間5月21日凌晨,趣頭條今日發布了截至3月31日的2019財年第一財季財報。報告顯示,趣頭條第一財季凈虧損為人民幣6.882億元,相比之下上年同期的凈虧損為人民幣3.026億元,虧損額同比.
1900/1/1 0:00:00作者:TonySpilotro九年前的今天,一位名叫LaszloHanyecz的美國佛羅里達州程序員用一萬個比特幣購買了兩個PapaJohn’s披薩.
1900/1/1 0:00:00作者:孫副社長 作為眾多行業中的是非匯集之地,金融行業最近的新聞一直不少,尤其是前證監會掌門人落馬這件事,更是吸引了各方關注,消息一出,各方勢力反應甚是迥異:炒股的拍手稱快.
1900/1/1 0:00:00親愛的用戶: BigONE將支持PIZZA空投。空投比例:100EOS:1PIZZA;XPLA獲Big Brain Holdings、Play Ventures和IVC投資:6月23日消息,以W.
1900/1/1 0:00:00不可否認,由于加密貨幣的高度匿名性與跨境能力,自比特幣問世以來很多人將其與暗網、洗錢等網絡犯罪「捆綁」起來.
1900/1/1 0:00:00為了慶祝LBank期權交易火熱上線,并拓展PHV的交易場景。我們啟動了預算共10BTC的「PHV期權補償基金」激勵補償活動.
1900/1/1 0:00:00