9 月 14 日,一款名為“EOSPlay”的 DApp 游戲遭遇了新型隨機數攻擊,一共損失了數萬個 EOS。
或許很多人對「隨機數攻擊」這個詞已經司空見慣了,因為在 DApp 遭遇黑客攻擊的事件中,隨機數攻擊占了很大一部分,很多 DApp 的隨機數被黑客破解了。
你或許會問,隨機數不是隨機的嗎?隨機意味著不可預測,為什么還會被黑客破解呢?
這還得從隨機數說起。
隨機數可以分為真隨機數和偽隨機數。真隨機數需要同時滿足隨機性、不可預測性、不可重現性,而偽隨機數只需要滿足隨機性,或者是隨機性和不可預測性即可。
風險投資基金公司Penguin推出Token化投資平臺“Penguin Token”:金色財經報道,總部位于阿聯酋的風險投資基金公司 Penguin 宣布在 BSC 區塊鏈上推出 Token 化投資平臺“Penguin Token”,該平臺為投資者提供多元化的加密資產、傳統投資和風險投資機會組合,并利用其實用型原生 Token “WAK” 為加密貨幣和 NFT 市場提供服務,包括 Penguin NFT 開發、推出 NFT Launchpad 和智能錢包等。[2023/1/28 11:33:27]
真隨機數只存在于物理世界中,一般需要通過物理手段(包括量子過程)獲得,比如我們日常見到的拋硬幣、擲骰子,生成的隨機數就是真隨機數。但是,拋硬幣、擲骰子這種隨機數生成方法的缺點非常明顯,那就是耗時、耗力,而且也無法滿足現代的計算機世界對隨機數的需求。
馬斯克:社交媒體平臺希望讓meme幣交易變得更容易:金色財經報道,特斯拉首席執行官馬斯克最近在 Twitter Spaces 上的一次談話中?重申了他對meme加密貨幣狗狗幣的支持。
\u2028當被問及著名的比特幣模仿時,這位有爭議的企業家說“Dogecoin to the moon”。? 馬斯克還表示,社交媒體平臺希望讓使用meme幣進行交易變得更加容易。? DOGE 價格在過去 24 小時內上漲了近 5%,目前在 Binance 交易所的交易價格為 0.104 美元。在超過 Cardano (ADA) 之后,它仍是市值排名第八的加密貨幣。[2022/12/4 21:21:46]
因為效率的緣故,現代的計算機軟件主要依賴偽隨機數。最早的偽隨機數生成器由 20 世紀最重要的數學家之一馮·諾依曼創造,通過一個確定的隨機數種子,由確定的算法生成偽隨機數序列。現在的主流計算機編程語言,默認的是將 1997 年發明的梅森旋轉算法作為生成偽隨機數的方法。
孫宇晨:區塊鏈技術和加密行業仍然擁有巨大可能性:10月28日消息,波場TRON創始人、Huobi Global顧問孫宇晨發布推文稱,其近日以視頻連線的方式出席了2022釜山區塊鏈周(BWB 2022)并進行主題演講,同時以視頻錄制的形式在BWB 2022火幣分論壇發表開場致辭。
在火幣推特公布的致辭視頻中,孫宇晨表示,“盡管目前市場表現不盡如人意,但是區塊鏈技術和加密行業仍然擁有巨大可能性。在過去的幾年中,經過業內人士的共同拼搏,已經讓更多的人看到了區塊鏈的價值,這個行業注定會有一個光明的未來。”
據悉,2022釜山區塊鏈周活動由釜山廣域市主辦,火幣作為主要贊助方參與其中。孫宇晨于10月中旬成為Huobi Global顧問委員會首批成員之一,任職后,孫宇晨不僅在推特個人簡介中添加“火幣全球顧問”頭銜,還發布火幣入職系列小作文,分享自己擔任顧問的心得,多次強調要為HT賦能。[2022/10/28 11:52:33]
偽隨機數最大的缺陷是,只要種子不變,生成的偽隨機數序列也不會變。換句話說,只要你能拿到種子,你就可以破解隨機數。
Harmony團隊在鏈上對Horizo??n Bridge攻擊者發出談判請求,未得到回復:6月24日消息,Etherscan頁面顯示,在今日6:28和10:40進行的交易記錄中,Harmony團隊兩次向Horizo??n Bridge攻擊者發出請求:“Harmony團隊對溝通和談判感興趣。 請聯系官方郵箱開始對話。 通信可以是匿名的。 ”但目前黑客并未對此進行回復。
此外,Harmony團隊今日11:37發推文稱,Harmony正在處理,將繼續與FBI和多家網絡安全公司一起進行調查。
此前消息,以太坊與Harmony間跨鏈橋Horizo??n遭遇攻擊,損失約1億美元。[2022/6/24 1:28:48]
計算機生成偽隨機數的過程,或多或少與這臺計算機的物理狀態或運算狀態有關。也就是說,同一套隨機數算法,不同的計算機,或是同一臺計算機在不同的時刻,生成的隨機數是不一樣的。
然而,這種傳統的計算機偽隨機數生成方法雖然足夠安全,卻并不適用于區塊鏈。區塊鏈是一個分布式的系統,同一個 DApp 在不同的節點上運行,采用的隨機數必須要一致,這樣才能讓各個節點進行驗證。所以,DApp 的隨機數來源,不能是運行這個 DApp 的計算機自動生成的,因為這樣的話,不同的節點計算機運行的結果就不一樣了。
那么,區塊鏈上的 DApp 隨機數從哪里來呢?主要有以下三種方法:
第一種方法是通過可信第三方提供隨機數。比如說專門提供隨機數的網站 random.org,我們可以通過獨立于區塊鏈之外的 Oraclize 預言機為以太坊區塊鏈上的 DApp 獲取隨機數。當然,這種依賴可信第三方的方法有違區塊鏈去中心化的精神。
第二種方法是不同的參與者一起合作生成隨機數。比如以太坊區塊鏈上的 RANDAO,任何人都可以提交一個數字,RANDAO 將所有提交的數字集合作為種子,生成隨機數,其他 DApp 可以付費調取 RANDAO 生成的隨機數,這些費用會獎勵給那些提交了數字的用戶。因為以太坊的去中心化,你不知道別人提交了什么數字,所以要破解 RANDAO 的隨機數種子難度很大。
第三種方法是采集區塊鏈上的信息作為種子。這也是目前大部分 DApp 所采用的隨機數生成方法,缺陷是隨機數的種子“幾乎是”透明的。以本文開頭提到的 EOSPlay 為例子,這款游戲的隨機數采用的是未來某個區塊的 ID(哈希值)作為隨機數的種子。
那么,黑客是如何實現攻擊的呢?根據區塊鏈安全公司慢霧科技的分析,可能使用了以下的方法:
1、黑客為自己和項目方租用了大量的 CPU;2、黑客發起大量的延遲交易;3、由于以上兩點原因,導致 CPU 價格被拉高,從而導致其它用戶 CPU 不足;4、因為 CPU 不足的原因,其他用戶難以發送交易,黑客得以使用自己的交易占滿區塊;5、根據提前構造的交易內容,黑客可以成功預測出區塊哈希。
也就是說,雖然哈希算法不可逆,但是黑客可以通過控制輸入實現輸出的控制:控制區塊內的交易內容,從而控制區塊信息,進而控制區塊哈希值,最終達到預測開獎結果的目的。
最后,我們總結一下:
隨機數可以分為真隨機數和偽隨機數,真隨機數只存在于物理世界中,一般需要通過物理手段獲取。為了效率,計算機主要采用偽隨機數,然而由于區塊鏈的分布式特性,足夠安全的傳統計算機偽隨機數生成方法并不適用。大部分 DApp 采用的是收集區塊鏈上的信息作為偽隨機數的種子,而要想設計足夠安全的偽隨機數,難度非常大,這就是為什么很多 DApp 經常遭受隨機數攻擊的原因。
今天,我們將為 Maker 用戶介紹多抵押 Dai 中的?緊急關停?機制,包括緊急關停是什么、怎樣啟動、在什么情況下會啟動.
1900/1/1 0:00:00頭條 ▌河南省區塊鏈產業園區正式揭牌金色財經消息,8月6日上午,為深入推動河南省區塊鏈產業快速集聚發展.
1900/1/1 0:00:00原文作者:David 按:近期加密借貸平臺接二連三地發生暫停贖回的情況,引發了加密市場參與者的恐慌及加密市場的大幅下跌.
1900/1/1 0:00:00金色財經行情播報丨BTC連漲5日最高漲幅23.3% MACD雙線穿越零軸:據火幣行情顯示,截至18:30,BTC已經連漲5日,自3月30日低點5860USDT至4月2日最高7225USDT.
1900/1/1 0:00:00近期 Solana TVL 數據“偽造”事件引發關注。Coindesk 發布的《曾“偽造”Solana七成TVL的“多重人格者”,正望向Aptos》文章揭示,Solana 生態的開發者兄弟 Ia.
1900/1/1 0:00:00用于去中心化互聯網堆棧的 Web3 基礎設施的市場規模如此之大,以至于它經常被低估。撰寫:Mason Nystrom編譯:TechFlow intern 雖然以太坊和其他第一層資產存在流動質押,
1900/1/1 0:00:00