12月05日,新上線的又一款EOS競猜類游戲Fastwin遭到黑客攻擊,區塊鏈安全公司PeckShield態勢感知平臺捕捉到了該攻擊行為并率先進行了安全播報披露。數據顯示,當天凌晨03:18—04:15之間,黑客向Fastwin游戲合約發起124次攻擊,共計獲利1,929.17個EOS。PeckShield安全人員分析發現,該攻擊行為是黑客利用Fastwin的合約在校驗合約調用方時存在的漏洞,導致「內聯反射」攻擊成功。
據研究,截止11月底,已經發生了超27起EOSDApp安全事件,主要集中在假EOS攻擊、隨機數問題等攻擊方式,且在不斷升級演變。而這次看似較小的攻擊事件背后卻暴露出了一個較以往危害性可能更大的新型漏洞:EOSIO官方系統對調用合約自身函數存在不校驗權限的問題。
動態 | EOS競猜類游戲SKReos再次遭受攻擊:Beosin(成都鏈安)態勢感知系統報警:從昨日晚間開始截止目前,skreosladder游戲再次遭受黑客攻擊,黑客目前已經獲利數千eos。經成都鏈安安全人員初步分析,黑客仍然采用的是交易阻塞的攻擊方式,不過較為不同的是黑客控制大量賬戶同時下注,再由多個賬戶進行推塊操作由于參與攻擊的賬戶眾多。賬戶之間聯系性不明顯,攻擊隱蔽性高。成都鏈安在此提醒項目方提高警惕并重視安全防范,以避免造成更多的資產損失。[2019/8/10]
圖一,PeckShield與Block.one郵件溝通
PeckShield認為這是一個非常嚴重的漏洞,并第一時間通知了Block.one團隊。Block.one官方團隊接受了該漏洞提議,并告知我們有其他研究團隊也事先獨立匯報了該漏洞,最終于周四更新了緊急補丁以補救防御,同時次日新發布1.5.1和1.4.5兩個版本,完成了該漏洞修復,避免了更多攻擊事件的發生及可能造成的資產損失。
動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示:今天15:43 - 18:31之間,黑客(kuybupeykieh)向EOS競猜游戲合約(vegasgame111)發起攻擊,共計獲利數百個EOS,追蹤鏈上數據發現,為了防止資金流向被追蹤,該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現,該黑客利用的是“假EOS”漏洞實施攻擊,這一漏洞在10月份較為普遍,不過隨著多數開發者合約開發趨于規范,類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞,PeckShield在此提醒廣大游戲開發者和游戲玩家,警惕安全風險。[2018/11/21]
「內聯反射(inlineReflex)」攻擊原理
動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息,針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析,慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測:攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數,產生隨機數后立即在 inline_action 中使用隨機數攻擊合約,導致中獎結果被“預測”到,從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動,在今日凌晨(11.8 號)已經第一時間將威脅情報同步給相關交易所平臺。
慢霧安全團隊提醒類似開發者:不要引入可控或可預測隨機數種子,任何僥幸都不應該存在。[2018/11/8]
正常的轉賬流程如圖所示:玩家通過調用系統合約(eosio.token),將EOS轉賬給游戲合約,觸發游戲合約的分發邏輯(apply),進而調用相關函數實現開獎。
圖二,競猜游戲正常轉賬流程
而此次的攻擊者(ha4tsojigyge),在自己帳號部署的合約中包含了與游戲合約相同的操作函數,在轉賬完成后,自行開獎獲得獎金。如圖所示:
圖三,攻擊者內聯調用自身合約開獎
從圖中可以看出,攻擊者在自身合約的函數中,內聯調用了與游戲合約開獎同名的函數,再通過通知的方式將信息發送到了游戲合約。此時游戲合約的分發邏輯沒有過濾掉此信息,并調用了開獎函數。
總之,攻擊者利用了EOSIO系統中對調用合約自身函數不校驗權限的漏洞,進而使用游戲合約的帳號權限發起內聯調用,致使繞過游戲合約在敏感函數中校驗調用者權限的方法,從而獲取了游戲合約發放的獎勵。
修復方法
從上述分析能夠發現,攻擊者合約的通知信息中,實際調用的合約是攻擊者合約,而非游戲合約,因此在游戲合約的分發邏輯中過濾掉此類信息即可。而且從系統定義的宏中能夠看到,分發邏輯處理了此問題。因此PeckShield在此提醒開發者在定制化自己的分發邏輯時,需要特別注意其中的調用來源。
圖四,系統EOSIO_DISPATCH代碼
深層次及兼容性問題
需要強調的是:這個問題屬于EOS公鏈層的較大漏洞,攻擊者在內聯調用中可以偽造任意帳號的權限執行,但這個修復可能會給部分開發者造成兼容性問題,如合約內聯調用函數,而執行者帳號不是自己的時候,會導致整個交易執行失敗,如需解決兼容性問題請給合約賦予執行者帳號的eosio.code權限。
本文來源于非小號媒體平臺:
PeckShield
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627092.html
游戲鏈游
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
區塊鏈如何助力數據共享隱私保護?
據Theinformation消息,股票、期權及加密貨幣交易應用RobinhoodMarkets即將以高達70億美元—80億美元的估值結束其最新一輪融資.
1900/1/1 0:00:00iExec是基于Ethereum的分布式計算項目,旨在創建一個安全可擴展的去中心化虛擬算力平臺,iExec允許DApp開發者、數據提供方、算力提供方與使用者在其平臺上公平自由地交易算力與數據.
1900/1/1 0:00:00Yesterday,inManhattan,BitfinexandTetherfiledamotiontodismisstheproceedingbroughtbytheNewYorkAttor.
1900/1/1 0:00:00隨著熊市陰霾逐漸散去,大盤上行企穩,進入5月以來,各大平臺的平臺幣也開啟了瘋狂拉升模式。火幣的HT終于在這波拉升中突破階段壓力位,創階段新高,目前已漲至3.3美元以上,BNB不斷地強勢拉漲,更是.
1900/1/1 0:00:00我從2017年開始接觸比特幣場外交易,卻在今年相繼被騙200多萬。”王哲是一位資深比特幣“搬磚工”,即低買高賣的比特幣場外交易員.
1900/1/1 0:00:00BTC近期表現不佳,不盡如人意。多次突破8000美金依然被砸下來。目前BTC的價格為7900美金,近7日漲幅為9.45%,近30日漲幅為48.42%.
1900/1/1 0:00:00