2018 年8月6日,北京凌晨。
一款叫 Last Winner (以下簡稱 LW)的遊戲在以太坊上上線了。這是一個和 Fomo3D 相似但是不開源的遊戲。
讓人沒有想到的是,這個遊戲竟然在國內團隊的大力運營下,短短几天之內就席捲了整個以太坊網絡。
LW 一上線就有大量資金湧入,大量玩家入場。剛上線沒幾天,就為以太坊網絡製造了無數的交易,使得以太坊的 gas 價格直線上升,導致了大規模的交易擁堵,很多交易長達24小時都無法完成。
可以從圖中看到,從 8月6日 Last Winner上線到8月9日,以太坊的gas 價格最高上漲超過5倍。
(圖 1. 以太坊每日 gas 價格統計)
截止到2018年8月15日,LW 這個遊戲產生的交易就高達 28W 筆,吸入資金 109280 ETH,估值高達 2.5億 人民幣。就在幾個小時前,遊戲剛剛結束了第一輪並開始了新的一輪,第二輪開啟僅幾個小時,就吸引到了 5000 ETH入場,以太坊網絡再次擁堵起來,可見遊戲的火爆程度。
然而讓 Last Winner 和 玩家都沒有想到的是,多雙黑手正伸向他們。。。
4天?1200萬人民幣被盜走
8 月 10 號,安比實驗室(SECBIT)收到了美國硅谷公司 AnChain.ai 的消息,AnChain.ai 通過態勢感知發現了一個攻擊合約正在不斷從 Last Winner 中攫取 ETH!
根據 AnChain.ai 提供的數據,這個由黑客創造出來的攻擊合約發起了將近5W筆交易,僅花費4天 時間,就累計獲利5194ETH,價值將近1200W人民幣。
下圖來自 AnChain.ai提供的攻擊合約每小時攫取ETH數據,黑客從8月7號開始就發起了攻擊,在8月11日左右停止。在這短短四天內,該合約每小時平均攫取將近100ETH,將近22W人民幣。
(圖2. 黑客每小時攫取的 ETH)
下面這張圖表示黑客發送的交易量佔總交易量的 9.877 %, 但是攫取了 Last Winner 獎金池中 49% 的獎金。
(圖3. Last Winner 中黑客的交易量佔比和攫取 ETH 佔比)
疑點重重,離真相還有多遠?
安比(SECBIT)實驗室和 AnChain.ai 合作,共同對交易數據進行分析,同時安比實驗室採用代碼逆向工程、跟蹤調試等手段,對此番黑客的系列攻擊行為展開了進一步的深入分析。
首先通過觀察遊戲合約和異常交易行為,我們初步推測黑客很可能是利用了之前在Reddit上爆出的 Fomo3D 遊戲隨機數漏洞。事實上早在 7 月 24 日,安比(SECBIT)實驗室就有過風險預警:Fomo3D 遊戲的智能合約存在隨機數漏洞可被利用,Fomo3D 及所有抄襲源碼的山寨合約均存在該安全漏洞。
然而通過進一步的分析下,我們發現這裡不少地方非同尋常:
1、我們發現多個地址共同參與,分工明確,並按照一定的比例分賬。並且攻擊規模極大,前後共發起 5W 筆交易,創建且銷燬了 2W 多個子合約。通過結合 AnChain.ai 的態勢感知和安比實驗室的逆向分析,首次將該黑客團伙精確定位,我們把該團伙稱為 BAPT-LW20 (Blockchain APT – Last Winner)。
2、BAPT-LW20 團伙頭目(此次攻擊合約的創建者)還創建了其他 30 多個未開源的合約,而這些合約似乎還把黑手伸向了其他遊戲。
3、根據之前在 Reddit 上提到隨機數漏洞的技術細節,攻擊者要想攻擊獲利,成功率通常都不超過10%,然而最新的攻擊合約交易數據顯示,其成功率超過80%,大大提升了攻擊的效率,成功實現了在4天時間內攫取1200萬人民幣,BAPT-LW20 到底怎麼做到的?
4、攻擊合約在Last Winner上線前20天就部署好了,難道是遊戲項目方提前洩露了合約細節?
雖然還有不少未解之謎,但 BAPT-LW20 黑客團隊的神秘面紗終將揭開。目前安比實驗室正在聯手 AnChain.ai 抓緊時間,進行更加深入的分析,儘快把黑客組織的攻擊行為完整地展現給大家,請大家耐心等待。
來源;安比實驗室
閱讀更多 核財經 的文章
