据区块链安全公司PeckShield安全盾风控平台DAppShield监测消息,4月10日23点02分,黑客向波场竞猜类游戏TronWow发起攻击1,203次,共计获利2,167,377个TRX。PeckShield安全人员当即展开分析发现,黑客每投注20TRX,即可获得1,940个TRX作为回报,回报率高达97倍。最终,通过此次攻击,黑客共计投注23,004个TRX,获利2,167,377个TRX。此后,PeckShield安全人员进一步深入分析发现,TronWow合约在检查下注范围时存在缺陷,允许用户在非页面下注时构造恶意输入,从而实现稳赢的游戏结果。攻击细节:
稳定币TUSD即将在波场TRON上发行其TRC20版本:据官方消息,完全抵押并经链上实时验证的稳定币TUSD今日在推特宣布其正在与波场TRON基金会合作,并计划即将在波场TRON网络发行其TRC20版本代币,为波场TRON生态提供合法可靠的美元稳定币资产。
稳定币TrueUSD(TUSD)是首个经独立第三方机构审计验证、可 1:1 兑换美元的数字资产,通过与多家国际知名银行合作、秉承托管账户机制以及第三方资金验证,减少交易风险,确保交易透明,为代币持有者提供合法可靠的数字美元资产,目前全球流通量已超过三亿枚。[2021/4/7 19:55:34]
TronWow是一个典型的dice类游戏。玩家通过选定下注数字和押大押小来进行一轮游戏。如下图所示,当用户在TronWow游戏页面中参与游戏,无论选择Under模式或Over模式,都被限制了下注数字的范围和胜率。其中Under模式可下注数字为,Over模式可下注数字为,游戏随机生成数字范围为,Under和Over两种模式的胜率均为,奖励倍数为。
波场TRON账户总数突破2500万:2021年3月16日,据TRONSCAN波场区块链浏览器(https://tronscan.io)最新数据显示,波场TRON账户总数达到25,000,097,突破2500万。2021年1月25日,波场TRON账户总数突破2000万,短短50天,波场TRON用户增加500万,日均增长10万用户,波场TRON各项数据稳中前进,波场生态逐渐强大的同时,也将迎来更多交易量。[2021/3/16 18:48:16]
PeckShield安全人员在深入逆向分析TronWow合约时发现,TronWow合约在检查下注范围时存在缺陷,允许用户在非页面下注时构造恶意输入。换而言之,一旦用户避开游戏页面,直接调用游戏合约的下注函数,即可设法绕过合约中的下注范围检查条件,实现100%胜率以及最高回报倍数。下面以正常下注交易和恶意下注交易对该合约漏洞进行说明。在TronWow合约代码中,函数placeBet(uint24_betMask,uint256_commit,bytes32_r,bytes32_s)为下注函数,参数uint24_betMask为玩家的下注信息。其中正常下注交易调用placeBet函数时输入如下:
Tron区块链上USDT交易数量已连续三周超过以太坊:1月21日消息,由于以太坊上交易费用仍然很高,Tron区块链上USDT交易数量已经连续三周超过以太坊。数据显示,在过去四周内,以太坊每周的USDT交易数量稳定在150万笔左右。但是在Tron上,每周交易数量已从12月中旬的约90万笔增长到1月第二周的近200万笔。(CoinDesk)[2021/1/21 16:39:06]
这是一个选择了Under模式且下注数字为95的正常交易,换而言之,当游戏生成的随机数小于等于95时玩家获胜。在此交易中,参数_betMask的值24321转换成十六进制为0x005F01,我们将其分拆为三个字节,分别如下:
美国财政部将关注石油币petro:美国财政部发言人:财政部将关注数字加密货币“石油币”(Petro)的发展,警告美国民众“保持谨慎”。[2018/1/17]
其中:0x00为十进制0;0x5F为十进制95;0x01为十进制1.其中第一部分0x00表示若当该轮游戏产生的随机数计算结果处于之间,则玩家获胜;相反,前两位不为0x00时表示若该轮游戏产生的随机数计算结果处于之外,则玩家获胜。在逆向过程中,我们将下注函数的部分汇编指令还原成伪代码,如下图所示:
阅读上述下注函数伪代码可以发现,合约只对玩家下注信息中的胜率百分数进行了检查,要求其小于等于95,却未对下注数字做数值限制。故玩家可通过构造下注数字来绕过该检查。下图为攻击者发起的诸多攻击交易之一:
其中_betMask参数被构造为130971,十六进制为0x01FF9B。其中前两位0x01表示若该轮游戏产生的随机数计算结果处于之外,则玩家获胜。而0x9B、0xFF对应的十进制分别为155、255,则根据合约撰写的胜率百分比计算规则,winRate=100-(0xFF-0x9B)+1,即等于1,从而成功绕过下注范围检查函数,并将本次交易的奖励倍数设置为97。需要特别强调的是,在页面下注中,奖励倍数最高仅为48.5倍。接着,我们将开奖函数settleBet(uint256_reveal,bytes32_txHash)的判断游戏输赢部分汇编指令还原成伪代码:
其中rollResult为本轮游戏的随机数计算结果,取值范围为。而在攻击者设置的恶意参数中,rollResult必然处于区间之外,满足赢得本轮游戏的条件,从而确保了攻击者游戏结果稳赢。总结:
对于TronWow合约被攻击事件,PeckShield安全人员分析发现:TronWow合约在检查下注范围时存在缺陷,允许用户在非页面下注时构造恶意输入,实现100%胜率。需要注意的是,该漏洞已在TronWow上线的新版本合约中被修复,游戏方增添了对下注范围的约束检查。在此,PeckShield安全人员提醒广大项目方及交易所应当重视区块链世界中的任何安全问题,确保项目方及用户的资产安全可靠。安全无小事,采取不公布源代码来抵御黑客攻击的行为,在黑客面前形同虚设。DApp开发者应杜绝侥幸心理,在合约上线前做好必要的安全措施和已知攻击特征检查,必要时可联系第三方安全公司进行漏洞排查,避免造成不必要的数字资产损失。
为客观展示和反映DApp生态的真实状况,TokenInsight特发布DApp影响力排行榜。榜单通过对各DApp7日活跃用户、7日交易额、活跃天数、合约安全得分、代码开源比例等客观数据进行分析,
以下是关于美国人对比特币的看法进行调查的数据和分析,该调查是由代表BlockchainCapital的TheHarrisPoll于2019年4月23日至25日对2029名美国人在线完成的.
概览 本周,区块链概念股价表现不佳,A股、港股依然随着大盘普跌,美股有受波及,但涨跌较为平衡。普跌行情下,也有黑马。新晨科技曾在本周三度涨停,周内涨幅一度突破26%.
编者按:本文来自币圈驴把头,Odaily星球日报经授权转载。时间线虽然早在2011年就有人在比特币论坛BitcoinTalk里面去提出了PoS的概念,这是最早有记载的PoS的提出,2011年—2.
整理|张雪编辑|梁辰Odaily星球日报出品头条彭博社:Facebook区块链团队约10人来自PayPal,稳定币或三季度在印度上线据知情人士透露.
编者按:本文来自蓝狐笔记,作者:GjermundBjaanes,编译:Dyna,星球日报经授权发布.
区块见闻