APP:复盘数十万 EOS 被盗过程,背后是其架构设计缺陷?

北京时间2018年12月19日凌晨,EOS网络中,包括BetDice在内的数个游戏DApp遭受黑客攻击,损失数十万枚EOS通证。

TokenInsight认为本次事件是由于部分游戏DApp为增强游戏体验,在自建节点中运行DApp,导致链上数据同步时出现错误。

因为部分代码和数据未被公开,攻击的重现难度较高。据推演,黑客可能的攻击手段如下:

EOS被盗流程推演图

来源:TokenInsight

BitMax交易员hedeng:形成自己的交易策略一定要复盘:6月5日,BitMax金牌带单员、谐波交易艺术家hedeng做客BitMax合约大咖说第2期,主题为《如何用谐波交易策略月赚13万USDT》。

hedeng表示,构建自己的交易策略一定要复盘,记录开单原因,止盈止损,不要报复性开单,最重要的是要靠实盘磨练。对于今年下半年的行情hedeng认为,从技术分析角度来看BTC可以涨到3万。[2020/6/5]

1、黑客向DApp发送参与游戏的请求;

复盘:405万张主力卖出后价格迅速回落:AICoin PRO版K线主力成交数据显示:BitMEX XBT永续合约从4月23日23:00至今在小时周期中做上涨中继平台。

10:05分,价格接近平台上沿压力线,并突破。突破后,并无主力买入单子跟进,相反有2笔,共计405.97万美元的主力卖出单子。因此可判断为假突破,随后价格迅速回调,最高点最低点相差近200美元。 当前,价格仍然比较接近上沿线,请密切留意主力成交情况。[2020/4/29]

2、黑客直接向BP节点发送取消游戏的请求,或使账户余额不足而导致转账失败;

动态 | EOS备选节点CryptoLions复盘丛林测试网遭受攻击全过程:EOS备选节点CryptoLions发文,复盘了丛林测试网遭受攻击和恢复的过程。攻击者滥用丛林测试网的faucet,用测试网上的代币投票给不生产区块的节点,从而导致测试网罢工。CryptoLions提到,这次攻击不会发生在EOS主网上,因为EOS主网没有faucet。[2018/9/11]

3、DApp将黑客的游戏请求发送至BP节点,并在自建节点上运行黑客的游戏结果,若运算出玩家胜利的结果,则向BP节点发送给予玩家奖励的请求;

4、BP节点先后收到「黑客取消游戏」请求、「DApp发送游戏」请求、「DApp给予游戏奖励」请求。因为时间顺序和转账冲突的原因,「黑客取消游戏」请求被执行,而「DApp发送游戏」请求执行失败,「DApp给予游戏奖励」请求被执行。

5、黑客收到DApp的转账,一次攻击完成。

首先,应对该种攻击手段,可将DApp读取的状态数据改为read-only模式,read-only模式下数据库包含传入区块的更改,但不影响speculative交易处理。

此外,关于此次EOS的安全事件,AnChainCEOVictor指出,AnChain在Ethereum以及EOS有关安全的问题上有着较丰富的经验与技术积累,并且也提供有关代码的安全检测服务,这次的安全事件是完全可以避免的。比如,DApp可以使用ref_block功能,在给玩家发放奖励前,判断用户是否真的转账成功。同时,Victor还指出,这个安全问题背后还暴露出了在EOS中更加严重的问题,相较于其他部分公有链,EOS区块链并不记录失败的交易,浏览器也无法查询,这是EOS在架构设计方面的缺陷。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

TokenInsight

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627096.html

EOS柚子

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

慢雾:破解造成BetDice项目恐慌的交易回滚攻击手法

下一篇:

知道创宇携手中信云合作案例获评「2018企业服务案例TOP50」

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

瑞波币IDA:IDAX开放TXT充提、交易公告

亲爱的用户:?? IDAX将上线TXT。开通TXT/BTC交易,立即前往。充值开放时间:2019年6月1日14:00(UTC8)交易开放时间:2019年6月3日14:00(UTC8)adidas.

[0:15ms0-0:483ms