MAC:复盘数十万 EOS 被盗过程，背后是其架构设计缺陷？_APP

北京时间2018年12月19日凌晨，EOS网络中，包括BetDice在内的数个游戏DApp遭受黑客攻击，损失数十万枚EOS通证。

TokenInsight认为本次事件是由于部分游戏DApp为增强游戏体验，在自建节点中运行DApp，导致链上数据同步时出现错误。

因为部分代码和数据未被公开，攻击的重现难度较高。据推演，黑客可能的攻击手段如下：

EOS被盗流程推演图

来源：TokenInsight

主力复盘：暴跌前24小时火币主力卖出1.1亿美元:AICoin PRO版K线主力大单统计显示：8月1日13:45-8月2日12:15，火币BTC季度合约主力大单委托频繁出现并成交。其中，一共成交了110笔，共计1.1亿美元大额委托卖单；成交了76笔，共5155万美元大额委托买单，成交差-5846.7万美元。[2020/8/3]

1、黑客向DApp发送参与游戏的请求；

2、黑客直接向BP节点发送取消游戏的请求，或使账户余额不足而导致转账失败；

主力成交复盘：火币上的主力先砸盘，币安现货主力成交活跃:AICoin PRO版K线主力成交数据显示：13:00，火币BTC现货出现了一笔价格为7122.12美元，数量为253.66BTC的大单卖出；随后，币安BTC现货相继出现13笔，总额超过1132BTC的大额卖出，主力成交活跃。 可见，这轮下跌中，火币上的主力最先砸盘。另外，因主力成交活跃我们需要密切关注币安BTC现货的主力成交情况。[2020/4/10]

3、DApp将黑客的游戏请求发送至BP节点，并在自建节点上运行黑客的游戏结果，若运算出玩家胜利的结果，则向BP节点发送给予玩家奖励的请求；

主力大单跟踪复盘：开多又平多 主力已完成短线操作:AICoin PRO版K线主力大单跟踪显示：3月9日全天，OKEx及火币的季度合约总计有6笔千万美元级别以上的买单成交，总成交金额超过7600万美元。这一过程中，AI-PD-持仓差值为大正值，为主力开多。3月10日早上九点后，OKEx及火币的季度合约总计有10笔千万美元级别以上的卖单成交，这一过程中，AI-PD-持仓差值为大负值，为主力平多。数据表明，过去36小时，主力开多又平多，已完成短线操作。[2020/3/11]

4、BP节点先后收到「黑客取消游戏」请求、「DApp发送游戏」请求、「DApp给予游戏奖励」请求。因为时间顺序和转账冲突的原因，「黑客取消游戏」请求被执行，而「DApp发送游戏」请求执行失败，「DApp给予游戏奖励」请求被执行。

5、黑客收到DApp的转账，一次攻击完成。

首先，应对该种攻击手段，可将DApp读取的状态数据改为read-only模式，read-only模式下数据库包含传入区块的更改，但不影响speculative交易处理。

此外，关于此次EOS的安全事件，AnChainCEOVictor指出，AnChain在Ethereum以及EOS有关安全的问题上有着较丰富的经验与技术积累，并且也提供有关代码的安全检测服务，这次的安全事件是完全可以避免的。比如，DApp可以使用ref_block功能，在给玩家发放奖励前，判断用户是否真的转账成功。同时，Victor还指出，这个安全问题背后还暴露出了在EOS中更加严重的问题，相较于其他部分公有链，EOS区块链并不记录失败的交易，浏览器也无法查询，这是EOS在架构设计方面的缺陷。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

TokenInsight

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627096.html

EOS柚子

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

慢雾：破解造成BetDice项目恐慌的交易回滚攻击手法

下一篇：

知道创宇携手中信云合作案例获评「2018企业服务案例TOP50」

标签：APPDAPBTCMAC中币app下载不了DappRadarBTCYAlmace Shards

USDT热门资讯