区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > LTC > 正文

TWI:竞猜类游戏Fastwin遭黑客攻击背后:Block.one官方悄然做了重大更新_AST

作者:

时间:

(图片来源于网络)12月05日,新上线的又一款EOS竞猜类游戏Fastwin遭到黑客攻击,区块链安全公司PeckShield态势感知平台捕捉到了该攻击行为并率先进行了安全播报披露。数据显示,当天凌晨03:18—04:15之间,黑客(ha4tsojigyge)向Fastwin游戏合约(fastwindice3)发起124次攻击,共计获利1,929.17个EOS。PeckShield安全人员分析发现,该攻击行为是黑客利用Fastwin的合约在校验合约调用方时存在的漏洞,导致“内联反射(inlineReflex)”攻击成功。据PeckShield此前发布的《浅析DApp生态安全》的报告显示,截止11月底,已经发生了超27起EOSDApp安全事件,主要集中在假EOS攻击、随机数问题等攻击方式,且在不断升级演变。而这次看似较小的攻击事件背后却暴露出了一个较以往危害性可能更大的新型漏洞:EOSIO官方系统对调用合约自身函数存在不校验权限的问题。

动态 | EOS竞猜类游戏遭遇黑客攻击 损失2000枚EOS:Beosin成都链安预警:近日,根据成都链安区块链安全态势感知系统检测发现,攻击者xs***z及所属多个子账号,在几天内持续对某竞猜类游戏进行攻击并获利2000枚EOS,已于昨晚将盈利转入big.one交易所。经过成都链安技术团队详细分析,攻击者使用的攻击手法仍为通过交易堵塞攻击链上随机数,值得一提的是此次攻击者为了躲避检测,使用了模拟挖矿的方式进行攻击,每次获利仅0.1EOS左右,使得安全检测难度增加。Beosin成都链安在此提醒所有EOS 合约开发者关注合约安全,不要使用不安全的随机数方案。[2019/2/21]

(图一:PeckShield与Block.one邮件沟通)PeckShield认为这是一个非常严重的漏洞,并第一时间通知了Block.one团队。Block.one官方团队接受了该漏洞提议,并告知我们有其他研究团队也事先独立汇报了该漏洞,最终于周四(12月13日)更新了紧急补丁以补救防御,同时次日新发布1.5.1和1.4.5两个版本,完成了该漏洞修复,避免了更多攻击事件的发生及可能造成的资产损失。“内联反射(inlineReflex)”攻击原理正常的转账流程如图所示:玩家通过调用系统合约(eosio.token),将EOS转账给游戏合约,触发游戏合约的分发逻辑(apply),进而调用相关函数实现开奖。

动态 | 竞猜类游戏playgames遭受攻击:据降维安全实验室智子区块链监控系统监测到,知名竞猜类游戏playgames被恶意用户niyoubudou33持续攻击,截至发稿时已被攻击295次,获利2158个EOS,目前攻击还未停止。降维安全实验室在此提醒广大开发者应高度警惕,及时做好安全布控及攻击测试,排查潜在攻击的风险。[2019/1/16]

而此次的攻击者(ha4tsojigyge),在自己帐号部署的合约中包含了与游戏合约相同的操作函数,在转账完成后,自行开奖获得奖金。如图所示:

动态 | 今晨多款EOS竞猜类游戏遭黑客交易回滚攻击:据 PeckShield 态势感知平台12月12日数据显示:今晨05:57-08:27之间,黑客(helookitiqas)向EOS竞猜类游戏钓鱼高手(kittyfishing)发起攻击,在两个多小时内,共计发起91次攻击,总计获利558.85个EOS。该黑客账户(helookitiqas)在攻击得手后,将大部分所得资金转向币安交易所账号(binancecleos)。

PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。此外,另有两款竞猜类游戏也于今晨遭到了数十次同类型的攻击,损失数百个EOS,目前还有一款游戏合约尚未修复仍面临再次被攻击的风险。PeckShield 安全人员在此提醒:近日,交易回滚攻击形态仍在频繁出现,对EOS DApp游戏生态造成了严重的威胁,希望广大游戏开发者持续保持警惕。[2018/12/12]

从图中可以看出,攻击者在自身合约的函数(pushck)中,内联调用了与游戏合约开奖同名的函数(check),再通过通知(require_recipient)的方式将信息发送到了游戏合约。此时游戏合约的分发逻辑(apply)没有过滤掉此信息,并调用了开奖函数(check)。总之,攻击者利用了EOSIO系统中对调用合约自身函数不校验权限的漏洞,进而使用游戏合约(fastwindice3)的帐号权限发起内联调用,致使绕过游戏合约在敏感函数中校验调用者权限的方法(require_auth),从而获取了游戏合约发放的奖励。修复方法从上述分析能够发现,攻击者合约的通知信息中,实际调用的合约是攻击者合约(ha4tsojigyge),而非游戏合约(fastwindice3),因此在游戏合约的分发逻辑(apply)中过滤掉此类信息即可。而且从系统定义的宏(EOSIO_ABI或者EOSIO_DISPATCH,如图四)中能够看到,分发逻辑处理了此问题。因此PeckShield在此提醒开发者在定制化自己的分发逻辑时,需要特别注意其中的调用来源。

深层次及兼容性问题需要强调的是:这个问题属于EOS公链层的较大漏洞,攻击者在内联调用中可以伪造任意帐号的权限执行,但这个修复可能会给部分开发者造成兼容性问题,如合约内联调用函数,而执行者帐号(actor)不是自己的时候,会导致整个交易(transaction)执行失败,如需解决兼容性问题请给合约赋予执行者帐号的eosio.code权限。

标签:EOSASTWINTWILEOS币Meta Masters GuildnewintelTWITTERX

LTC热门资讯
HER:君士坦丁堡硬分叉激活点确定,以太坊开发者会议实施重大改革_togetherbnb薇拉能上吗

据星球日报了解到,以太坊开源开发团队已经就君士坦丁堡激活时间达成协议,旨在为社区用户提供更多、更新的区块链功能.

ETH:?比肩Fabric,FISCO BCOS与安妮股份领跑版权服务区块链应用_比特币以太坊再现断崖式暴跌原因

当下,区块链技术已不再是新鲜概念,越来越受到社会、经济各界的广泛关注。过去谈及区块链,可能仅仅是小众群体中的时髦概念,但经历了比特币、数字代币等的价格一轮狂跌后,炒币热的泡沫散尽,反而区块链作为.

比特币:熊市下,记一位“我家祖传三代都是挖矿”的矿工的内心独白_LED

“我家祖传三代都是挖矿的!”在刚接触到威哥的时候,他这样跟我们说道。1.威哥的矿场扎根在四川康定深处的大山,我们的初次见面是在附近镇上的茶馆,见面第一句话,他跟我们说:“你们采访我就对了,我家祖.

区块链:纽约高档公寓和瑞吉Aspen度假村的房产ST实例|8 Decimal View_SPEX币

纽约高档公寓和瑞吉度假村的房产STO实例作者:BrianH.Hough&魏然八维研究院原创,转载请注明出处本月初,纽约曼哈顿的一处高档公寓房产在以太坊上被成功通证化.

马斯克:?易到创始人周航王峰十问复盘得失:害怕失败是创业者面对的最大心魔_比特币

作者:王峰十问来源:火星财经10月,易到创始人周航出版《重新理解创业》一书,首度复盘自己20年创业经历,全方位坦陈创业之得与失.

Kucoin:获得IDG和经纬投资的交易所KuCoin,如何在全球市场分一杯羹?_blackmambacoin

交易所是区块链领域最为“骨灰”的生意。如今虽然头部已现,但火币、OKex和币安均为后来居上,激励着继往者继续涌入.