DappSo
截至12月19日,EOS DAPP遭黑客攻击所致损失已达1296万人民币,其中12月当月损失占比约44%。
12月18日,据安全公司PeckShield安全播报,EOS四款竞猜类游戏BetDice、ToBet、EOS MAX和BigGame疑似遭遇同一帮黑客的攻击,初步估算,累计损失超288329.85个EOS(折合人民币约519万)。事后黑客批量创建了多达2,190个子账号实施资金转移,试图逃离ECAF追踪,目前,转移操作仍在继续,该笔资金尚未转至交易所。
自EOS主网落地后,基于EOS开发的DAPP应用便与日俱增。据Dappreview数据,目前基于EOS的DAPP应用已近230个,成为继以太坊之后的第二大区块链应用平台。且EOS DAPP的日活跃用户数和交易量已远远超出以太坊平台上DAPP应用的同期表现。
而跟随EOS DAPP活跃度和交易量一路蹿升的,还有广大黑客的关注度与强大执行力。
据不完全统计,截至12月19日,EOS平台上的DAPP应用共遭遇了35起黑客攻击,波及EOS DAPP近30个。除去部分未披露损失情况的应用,项目方已累计遭受损失达72万个EOS,按照现价(18元/EOS)约合1296万人民币。
从攻击对象上看,黑客似乎格外青睐竞猜类DAPP应用,91.2%的攻击对象是竞猜类游戏,仅少量的交易所(如Newdex)及其他游戏应用在列;而EOSBET、EOS.WIN等高频竞猜应用则多次被攻击,且损失巨大。
从攻击方式上看,黑客的攻击手段从最初的“溢出攻击”到9-10月份的“假EOS攻击”、“重放攻击”、“假转账通知攻击”,而后到近期屡试不爽的“随机数攻击”和“交易回滚攻击”,可见,黑客的攻击手法正在不断演变且愈发复杂。
———DappSo———
下面说一下典型案例:
事件一 EOS Fomo3D 狼人杀
2018年7月25日,安全团队发出警告,EOS Fomo3D 游戏合约遭受溢出攻击,资金池变成负数。于是狼人团队做了应急处置并上线了新合约之后,发生第二次攻击,被攻击者(eosfomoplay1)拿走 60,686 个 EOS。
事件二 EOSBet
9月14日上午11时左右,黑客利用在 EOS 体系里发布的名为 “EOS” 的代币在 EOSBet 平台进行投注,而项目方的代码中没有检查收到的 EOS 是否是 eosio.token 产生的正经 EOS。于是账户 aabbccddeefg 在实际上没有成本的情况下,在短短 15 分钟之内造成了项目方损失了 44,427.4302 EOS 和投注产生的 1,170.0321 BET。随后这些 EOS 被转移到了交易所。
事件三 EOS WIN
2018年9月2日,EOS WIN 随机数被破解,损失 2000 个 EOS(本次攻击项目方未向公众披露)。
9月15日,继 EOSBet 之后,EOS WIN 也受到了“假币攻击”,黑客用不存在的“EOS” 投注赢走了约 4000 个 EOS,导致 EOS WIN 暂时关闭。
事件四 DEOS Games
2018年9月10日,黑客破解了 DEOSGames 游戏平台下 Dice 的随机数算法,在不到一个小时的时间里,连续 24 次“赢得” 奖金约 2.4 万美元(4,000 EOS)。
事件五 Newdex
2018年9月14日,在 EOSBet 爆出黑客利用假币投注赢取真币的安全漏洞后,当天下午两点,EOS 合约帐户 oo1122334455 发行了一个名为“EOS”的 token,并且将十亿假 EOS token 全额分配给 EOS 账户 dapphub12345,然后由该账号将假代币转入账户 iambillgates(实施攻击的账户)。攻击账户用小额假 EOS 验证攻击成功后,于14:31:34至14:45:41进行大额攻击,分多笔共 11800 假 EOS 挂市价单购买 BLACK、IQ、ADD,且全部成交。
等等…….
———DappSo———
据相关数据显示,自7月份发生第一起攻击事件之后,每月皆有5起以上DAPP攻击事件,损失金额从427EOS-200000EOS不等(除去损失金额未知的项目)。
目前来看,攻击频次最高的是10月份,共10起(平均每3天出现1起),累计损失金额达23.5万EOS(近423万人民币)。
所有受攻击应用中损失最大的,属竞猜类游戏BetDice,其因12月19日遭黑客攻击致损失高达20万EOS(约360万元),其次是10月份EOSBET(损失约262万元),其次是10月份EOSCast(损失约131万元)。
但进入12月份之后,黑客攻击似乎愈发频繁。从12月3日-19日,半个月时间内就发生了8起DAPP黑客攻击,且损失金额达到近几个月中最高,31.65万EOS(约557万元)。
———DappSo———
EOS平台上的DAPP出现攻击频次如此高,在PeckShield安全团队看来有以下几点原因:
1)EOSIO公链本身存在一些系统漏洞。
例如竞猜类游戏FastWin攻击事件中,黑客利用的就是EOS系统的“内联反射(inlineReflex)”漏洞,EOSIO官方系统对调用合约自身函数存在不校验权限的问题;
今晨连续四个EOS竞猜类项目也因EOS Node存在漏洞有关,造成了总计超500万元的损失。较早期类似的问题更多,比如溢出攻击、RAM吞噬等。
2)EOS游戏合约开发者欠缺安全意识和合约开发规范。
例如TRUSTBET游戏遭受重放攻击,是由于开发者设计的开奖随机算法存在严重缺陷,使攻击者可利用合约漏洞重复开奖,这是一种较低级的错误,若开发者适当加强安全防范意识和合约开发规范,是可以一定程度避免的。
此外,近期频繁曝出的随机数攻击,交易回滚攻击等也属于此类漏洞,有的游戏还在测试期间就主网上线了,结果是才一上线就被攻击了。
3)区块链上的犯罪成本低廉,监管体系不完善。
这是各大区块链平台遭受攻击的一个共通原因,目前的惩罚力度明显不足,相应监管使用的法律法规还不够完善。在EOS上, 基于ECAF的治理机制也还有很长的路要走。
4)EOS平台并非频遭攻击的特例。
以太坊此前也曾频繁曝出智能合约攻击事件,目前几大公链都处于生态发展早期,且由于大部分游戏合约都采用游戏挖矿的模式吸引玩家,往往可在短时间集聚大额资产,自然成为首要攻击对象,哪里有财富,哪里就是黑客活跃的天堂。
———DappSo———
原文链接
https://www.dappso.cn/3041.html
Dapp Store:
https://store.dappso.cn
閱讀更多 區塊鏈應用市場 的文章
