请选择 进入手机版 | 继续访问电脑版
游客您好
第三方账号登陆
  • 点击联系客服

    在线时间:8:00-16:00

    客服电话

    136 1352 8209

    电子邮件

    92joke@sina.com
  • 官方客服号

    商务合作联系

  • 扫描二维码

    关注官方微信公众号

区块链动态
14105 0 0 2018-12-21 12:29

损失超500万的最大安全事件,到底发生了什么?

来自: IMEOS 收藏 分享 邀请

目前当日损失最高的安全事件昨日,一批黑客悄悄咪咪地在凌晨向四款 EOS 头部竞猜类游戏下了手:黑客 (hnihpyadbunv) 向 BetDice 游戏合约 (betdiceadmin) 发起攻击,损失共计195,530.79个EOS;黑客 (kfexzmckuhat)向 ...

目前当日损失最高的安全事件

昨日,一批黑客悄悄咪咪地在凌晨向四款 EOS 头部竞猜类游戏下了手:

黑客 (hnihpyadbunv) 向 BetDice 游戏合约 (betdiceadmin) 发起攻击,损失共计195,530.79个EOS;

黑客 (kfexzmckuhat)向 ToBet 游戏合约(tobetioadmin)也发起了攻击,共计22,403.69个EOS;

黑客 (eykkxszdrnnc) 向 EOS MAX 游戏合约 (eosmaxiodice) 发起攻击,共计 55,526.05 个 EOS;同时他也对 BigGame 发起攻击,BigGame 损失 14,903.18 个 EOS。

四款游戏累计损失超288,329.85个EOS,按照当前市场价18元估算,损失超500万元。

黑客为逃离追踪,创建了大量的子账号

值得一提的是,这是一场有计划有组织的盗窃事件,黑客为逃离ECAF追踪,创建了 2,190个子账号销赃。

PeckShield 安全人员进一步追踪链上数据发现,黑客从账号 (hnihpyadbunv) 起开始大批量创建子账号,先后创建了eykkxszdrnnc、kfexzmckuhat…… 等多达 2190 个子账号实施资金转移,有 157,367.81个 EOS 在账号 udmkqiqlpxvb 上停留。

PeckShield 安全人员初步分析认为,由于 ECAF 的黑名单追踪冻结有一定范围,黑客欲通过大批量创建子账号来逃离追踪进行销赃(洗钱)。目前,该笔资金尚未最终转移至交易所,黑客还在持续进行资金转移操作。

损失方的回应

BetDice

公告称团队正在修复问题,估计一到两小时恢复服务(当前已恢复),20 万 EOS 也在努力追回中。

并公布了此次攻击的一些细节:

攻击者发现了一个EOS Node的漏洞,对于不在不可回滚区块的交易可以被这个漏洞利用,因为API节点和BP节点同步有一个时间差。攻击者利用这个漏洞下注,并只保留获胜的交易。 这次攻击并不是智能合约级别的漏洞,我们和多个bp紧密合作调查这次攻击。 bp确定我们的合约没有任何安全问题。

因为此次攻击是源于eos node,我们暂时无法公布更多的细节。 我们正和其他dapp开发联系,通知他们此次漏洞并帮助他们避免攻击。

EOSMax

经过团队调查、与BP商讨解决方案,已经成功修复问题,目前已恢复服务。

之后官方再次发布公告:经过慎重考虑,EOSMax决定暂停游戏服务,进行全方位的安全性能升级。(目前已恢复)

ToBet

示本次黑客攻击造成的损失全部由团队承担,不会影响玩家的分红和奖励。

BigGame

为了确保安全,目前BigGame 的骰子奖池余额已经转到安全账户中,待技术做完安全检查后,我们将会公户调查结果并把奖池转回来。

各方对此次攻击的分析

PeckShield安全人员分析认为:

接连发生的四款竞猜类游戏被攻击事件,均和EOS Node存在漏洞有关,初步推断为同一帮黑客所为。

攻击BetDice的账号hnihpyadbunv创建了账号eykkxszdrnnc,用来攻击EOSMax与BigGame。账号eykkxszdrnnc又创建了子账号kfexzmckuhat用来攻击ToBet。

攻击成功后,再频繁创建子账户转移所得资产。

胖哥分享了佳能和 MYKEY 技术团队对本次回滚攻击调查方式推演的一个推断。

攻击方式是抓住了 DApp 节点读写没有分离的漏洞,黑客直接运用 DApp 读的节点去发送交易,那么该节点会最早执行合约逻辑计算 DICE 结果,如果黑客赢那就不做任何操作,等该节点广播同步到快节点就赢了。如果黑客输了,黑客同时发送一笔转账操作到目前正出快主节点,让账号余额不足以完成先前的那笔交易,那么先前的那笔交易就会被废弃,那么黑客就不会输了。

综上运用的方式还是传统的方式:双花!

DApp 应该自查一下是否将读写分离以及读节点设置成 readonly 。

BetDice回应攻击细节:是有人制造微分叉造成回滚,进而进行重放攻击

针对 DApp 遭受双花攻击的传闻,BetDice 回应攻击细节:不是双花攻击,是有人制造微分叉造成回滚,进而进行重放攻击。

目前还无法重现攻击细节,和以往的攻击相比,此次攻击手法很高明。BetDice 背后有 24 个节点在运行,很早做了读写分离,也不是同一节点进行读写,所以读写分离不能解决这个问题。

现在可以确定有人在利用微分叉进行回滚,但如何实现的还无法确定。

EOS LIVE 分析了黑客的攻击:

EOS LIVE 认为黑客利用黑名单账号进行欺骗攻击。这次的攻击者是惯犯,他也有账号被加入了 BP 的黑名单里,他正是利用了 BP 不能打包黑名单账号交易的方式来发起这种攻击。

攻击流程:

1.黑客发起下注交易到 betdice 写节点。

2.Betdice 写节点执行该下注交易并广播到读节点,读节点发现下注交易后进行开奖操作。

3.黑客获取开奖结果。

4.因为 betdice 的下注交易和开奖交易有依赖,所以 2 笔交易都回滚。

5.但此时黑客已经知道开奖结果,而且betdice 重复投注开奖结果一样。

6.如果赢,重新投注, 如果输,回到步骤1

EOS上的DAPP共遭遇35起黑客攻击

据华尔街见闻统计,截至12月19日,EOS平台上的DAPP应用共遭遇了35起黑客攻击,波及EOS DAPP近30个。除去部分未披露损失情况的应用,项目方已累计遭受损失达72万个EOS,按照现价(18元/EOS)约合1296万人民币。从攻击对象上看,黑客似乎格外青睐竞猜类DAPP应用,91.2%的攻击对象是竞猜类游戏;从受损情况上看,12月份受损金额为近5个月最高,31.65万EOS(约570万人民币)。

我们可以见到 EOS DApp 一直以来被频繁攻击,甚至被戏谑为「黑客的提款机」,为何饱受黑客青睐,PeckShield 给了以下的分析:

1、一方面原因是 EOSIO 公链存在的系统漏洞,EOS 刚上线 6 个月,系统本身存在一些漏洞,上周我们披露了 EOS 竞猜类游戏 FastWin 被攻击,黑客利用的是 EOS 系统的“内联反射( inlineReflex )”漏洞, EOSIO 官方系统对调用合约自身函数存在不校验权限的问题。

我们第一时间和 Block.one 官方团队进行联系,对方也紧急更新版本完成了漏洞修复。又比如今晨连续四个 EOS 竞猜类项目因 EOS Node 存在漏洞有关,造成了总计超 500 万元的损失。

公链层的问题一旦出现会造成较大的影响。对于一个仅成长了 6 个月的系统而言,很难完全避免。较早期类似问题就更多了,比如溢出攻击、 RAM 吞噬等。不过,随着 EOSIO 公链项目的不断成熟和完善,这类问题会减少。

2、另一方面,也是我们认为较重要的原因, EOS 游戏合约开发者安全意识较为薄弱,且受竞猜类游戏虚热的影响,在开发合约时严谨性和规范度不够导致的。近一两个月频繁曝出的随机数攻击,交易回滚攻击等,有的游戏还在测试时就上线,一上线就被攻击。这类问题都是由于合约开发者欠缺安全意识和合约开发规范导致的。

3、至于是不是 EOS DApp 平台独特特质导致的,我们认为,这个是共通的,只不过,目前, EOS DApp 生态目前在三大公链中较为活跃,生态发展还处于早期,且由于大部分游戏合约都采用了游戏挖矿的模式,用来吸引玩家,因此隔一阵子会有现象级游戏冒出,短时间集聚大额的资产,自然就成了黑客攻击的首要对象。其实任何平台,比如ETH在早期其实也有很多类似的问题冒出来。

4、对于愈发猖獗的黑客攻击,还有一个重要的原因是:在区块链上攻击的犯罪成本低,目前的惩罚力度明显不足,相应监管使用的法律法规还不够完善。在 EOS 上, 基于 ECAF 的治理机制还有很长的路要走!

5、我们发现从 EOS 生态早期到现在,黑客攻击原理其实是在不断演变的,从最早的溢出攻击到合约 RAM 吞噬问题,再到重放攻击,以及近一两个月比较活跃的随机数和交易回滚攻击等等。黑客的攻击手段越来越复杂,也越来越成体系,经常会用已知攻击扫描漏洞尝试攻击新上线的游戏,这给 EOS 本来就薄弱的早期发展生态带来了更大的挑战,不过这侧面验证了生态的安全防范工作也在逐步提高。

6、目前来看, EOS DApp 生态我们认为尽管问题重重,但整体发展趋势还是良性的。与以太坊平台相比, EOS 在设计上有 TPS 高,响应速度快,无交易费等优势。但同时也给攻击者带来便捷和灵活!目前来看,这些 EOS DApp 频繁遭遇攻击,并没有说明了 EOS 底层公链的根本性不足,更多的还是 DApp 设计和应用开发上需要改善和优化。

就目前现状而言,攻击者明显走在了防守者前面!

我们为新入场的开发者,准备了一个合约开发规范文档,可以帮助开发者吸取以往攻击事件的经验教训。


鲜花

握手

雷人

路过

鸡蛋
本文暂无评论,快来抢沙发!

阅读排行RANKLIST
  • 日排行
  • 周排行
  • 月排行
ZHENNIU24(真牛科技)是一家以原创内容、高端活动与全产业渠道为核心的垂直类区块链产业媒体。我们关注新兴创新的区块链科技领域,提供有价值的报道和服务,连接区块链科技创业者和各种渠道资源,助力区块链科技产业化。
136 1352 8209
关注我们
  • 官方商务专员
  • 官方微信公众号

© 2017-2018 ZHENNIU24 Inc. 真牛科技 ( 晋ICP备14008748号-20 )