北京時間2018年12月19日凌晨,EOS網絡中,包括BetDice在內的數個游戲DApp遭受黑客攻擊,損失數十萬枚EOS通證。
TokenInsight認為本次事件是由于部分游戲DApp為增強游戲體驗,在自建節點中運行DApp,導致鏈上數據同步時出現錯誤。
因為部分代碼和數據未被公開,攻擊的重現難度較高。據推演,黑客可能的攻擊手段如下:
EOS被盜流程推演圖
來源:TokenInsight
主力成交數據復盤:638萬張主力買單確認15分鐘周期三角突破:AICoin PRO版K線主力成交數據顯示:BitMEX XBT永續合約在5月10日09:00~11日19:00的15分鐘周期中做三角形震蕩。
18:40,價格接近平臺上沿壓力線,并于18:41向上突破。期間,共計有5筆,共計638萬張主力買入;有2筆,共計200萬張主力賣出,成交差438萬張。較多的主力買入跟進可以判斷該周期的三角形突破為真突破。[2020/5/11]
1、黑客向DApp發送參與游戲的請求;
主力數據復盤:主力高位做空獲利近20%:AICoin昨日曾報道,OKEx BTC季度合約、火幣BTC季度合約和BitMEX XBT等在9900美元附近均有較大額委托賣單成交,并伴隨持倉增長,可判斷為主力開空。
主力開空后不久,市場經歷了兩輪下跌。第一輪下跌在9日15:20前后,由幣安BTC現貨主力主動賣出1251BTC,滑點高達109美元,測試到市場深度不足,主力做空信念增強。
第二輪下跌在今晨8時,BitMEX XBT永續合約主力主動賣出1.19億張,輕松完成一輪一千多美元收益的掠殺。 可見,此輪主力做空獲利超過20%。[2020/5/10]
2、黑客直接向BP節點發送取消游戲的請求,或使賬戶余額不足而導致轉賬失敗;
主力大單跟蹤復盤:開多又平多 主力已完成短線操作:AICoin PRO版K線主力大單跟蹤顯示:3月9日全天,OKEx及火幣的季度合約總計有6筆千萬美元級別以上的買單成交,總成交金額超過7600萬美元。這一過程中,AI-PD-持倉差值為大正值,為主力開多。3月10日早上九點后,OKEx及火幣的季度合約總計有10筆千萬美元級別以上的賣單成交,這一過程中,AI-PD-持倉差值為大負值,為主力平多。數據表明,過去36小時,主力開多又平多,已完成短線操作。[2020/3/11]
3、DApp將黑客的游戲請求發送至BP節點,并在自建節點上運行黑客的游戲結果,若運算出玩家勝利的結果,則向BP節點發送給予玩家獎勵的請求;
4、BP節點先后收到「黑客取消游戲」請求、「DApp發送游戲」請求、「DApp給予游戲獎勵」請求。因為時間順序和轉賬沖突的原因,「黑客取消游戲」請求被執行,而「DApp發送游戲」請求執行失敗,「DApp給予游戲獎勵」請求被執行。
5、黑客收到DApp的轉賬,一次攻擊完成。
首先,應對該種攻擊手段,可將DApp讀取的狀態數據改為read-only模式,read-only模式下數據庫包含傳入區塊的更改,但不影響speculative交易處理。
此外,關于此次EOS的安全事件,AnChainCEOVictor指出,AnChain在Ethereum以及EOS有關安全的問題上有著較豐富的經驗與技術積累,并且也提供有關代碼的安全檢測服務,這次的安全事件是完全可以避免的。比如,DApp可以使用ref_block功能,在給玩家發放獎勵前,判斷用戶是否真的轉賬成功。同時,Victor還指出,這個安全問題背后還暴露出了在EOS中更加嚴重的問題,相較于其他部分公有鏈,EOS區塊鏈并不記錄失敗的交易,瀏覽器也無法查詢,這是EOS在架構設計方面的缺陷。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
TokenInsight
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627096.html
EOS柚子
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
慢霧:破解造成BetDice項目恐慌的交易回滾攻擊手法
下一篇:
知道創宇攜手中信云合作案例獲評「2018企業服務案例TOP50」
Tags:APPDAPPDAPEOS中幣交易所app下載dappercoinblockchainresearchandapplicationEOS Crash
BIS行長:加密貨幣不是貨幣,區塊鏈技術應該被接受 ◇金色盤面 據huobiglobal數據顯示,BTC最近成交價8102.13美元,24小時變化0.07%;ETH最近成交價252.87美元.
1900/1/1 0:00:00數字資產行業在2018下半年開始經歷“寒冬”后終于在2019年一季度出現回暖態勢。主流加密通證在一季度增幅超過20%,交易活躍度與市場參與人數環比顯著提升.
1900/1/1 0:00:00近日,EZB交易所獲得了AndreessenHorowitz、BlockchainCapital、Panteracapital、DigitalCurrencyGroup、BoostVC等10家全.
1900/1/1 0:00:002、每個員工自私自利,爭權奪利,公司運作9年風生水起;4、遭到各國政府打壓,無法禁止,覆蓋全球100多個國家和地區;6、沒融過一分錢,估值1000億美元;把當中隨便一條拿出來.
1900/1/1 0:00:00金色財經比特幣5月25日訊自從加密貨幣價值不斷上漲,黑客便盯上了提供數字資產交易服務的交易所,自2011年以來已經掠奪了價值數十億美元的比特幣.
1900/1/1 0:00:00圖片來源于網絡 最近幾天,知名公鏈項目ETC疑似遭到51%攻擊,國外交易所Coinbase,Coincheck.
1900/1/1 0:00:00