12月05日,新上线的又一款EOS竞猜类游戏Fastwin遭到黑客攻击,区块链安全公司PeckShield态势感知平台捕捉到了该攻击行为并率先进行了安全播报披露。数据显示,当天凌晨03:18—04:15之间,黑客向Fastwin游戏合约发起124次攻击,共计获利1,929.17个EOS。PeckShield安全人员分析发现,该攻击行为是黑客利用Fastwin的合约在校验合约调用方时存在的漏洞,导致「内联反射」攻击成功。
据研究,截止11月底,已经发生了超27起EOSDApp安全事件,主要集中在假EOS攻击、随机数问题等攻击方式,且在不断升级演变。而这次看似较小的攻击事件背后却暴露出了一个较以往危害性可能更大的新型漏洞:EOSIO官方系统对调用合约自身函数存在不校验权限的问题。
动态 | 黑客攻击EOS竞猜类游戏?已获利数百EOS ?:Beosin(成都链安)预警:今天下午15:27-15:44之间,根据成都链安区块链安全态势感知系统Beosin-Eagle?Eye检测发现,黑客co****op向EOS竞猜类游戏合约xlo*****io发起连续攻击,已经获利数百EOS。经过成都链安技术团队初步分析,攻击者通过直接调用transfer方式,利用游戏合约逻辑缺陷,多个账号协同实施攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时呼吁游戏项目方在项目上链前进行完善的代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/6]
图一,PeckShield与Block.one邮件沟通
声音 | PeckShield: 12月份多起竞猜类游戏攻击者系同一黑客:突发的各类EOS竞猜类黑客攻击事件,不仅给开发者带来庞大的数字资产损失,还严重影响DApp生态的平衡,如何追缴受损资金成为摆在安全公司、ECAF社区、交易所等面前的难题。最近,PeckShield安全盾风控平台DAppShield通过持续黑名单库扫描和链上数据追踪发现,去年12月份以来先后攻击过EOS竞猜游戏LuckBet、EOS Buff、ggeos等多个EOS竞猜游戏的4个黑客帐号之间存在关联,确定系同一黑客。数月以来,该黑客通过攻击各类EOS竞猜类游戏已经持续获利上万个EOS。PeckShield安全盾正全面布控追踪近段时间遭黑客攻击损失的资金流向,且正积极寻求各大相关交易所协助,希望尽可能帮助游戏开发者追缴受损资金。[2019/1/11]
PeckShield认为这是一个非常严重的漏洞,并第一时间通知了Block.one团队。Block.one官方团队接受了该漏洞提议,并告知我们有其他研究团队也事先独立汇报了该漏洞,最终于周四更新了紧急补丁以补救防御,同时次日新发布1.5.1和1.4.5两个版本,完成了该漏洞修复,避免了更多攻击事件的发生及可能造成的资产损失。
动态 | EOS竞猜类游戏nutsgambling遭黑客交易回滚攻击:据 PeckShield 态势感知平台数据显示:昨天,黑客ybdzmtgouwxn向一款EOS 竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1,141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中,暂未提取到交易所。PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。最近一段时间该攻击形态频繁出现,对竞猜类游戏生态造成严重的威胁,广大游戏开发者需提高警惕。[2018/11/28]
「内联反射(inlineReflex)」攻击原理
正常的转账流程如图所示:玩家通过调用系统合约(eosio.token),将EOS转账给游戏合约,触发游戏合约的分发逻辑(apply),进而调用相关函数实现开奖。
图二,竞猜游戏正常转账流程
而此次的攻击者(ha4tsojigyge),在自己帐号部署的合约中包含了与游戏合约相同的操作函数,在转账完成后,自行开奖获得奖金。如图所示:
图三,攻击者内联调用自身合约开奖
从图中可以看出,攻击者在自身合约的函数中,内联调用了与游戏合约开奖同名的函数,再通过通知的方式将信息发送到了游戏合约。此时游戏合约的分发逻辑没有过滤掉此信息,并调用了开奖函数。
总之,攻击者利用了EOSIO系统中对调用合约自身函数不校验权限的漏洞,进而使用游戏合约的帐号权限发起内联调用,致使绕过游戏合约在敏感函数中校验调用者权限的方法,从而获取了游戏合约发放的奖励。
修复方法
从上述分析能够发现,攻击者合约的通知信息中,实际调用的合约是攻击者合约,而非游戏合约,因此在游戏合约的分发逻辑中过滤掉此类信息即可。而且从系统定义的宏中能够看到,分发逻辑处理了此问题。因此PeckShield在此提醒开发者在定制化自己的分发逻辑时,需要特别注意其中的调用来源。
图四,系统EOSIO_DISPATCH代码
深层次及兼容性问题
需要强调的是:这个问题属于EOS公链层的较大漏洞,攻击者在内联调用中可以伪造任意帐号的权限执行,但这个修复可能会给部分开发者造成兼容性问题,如合约内联调用函数,而执行者帐号不是自己的时候,会导致整个交易执行失败,如需解决兼容性问题请给合约赋予执行者帐号的eosio.code权限。
本文来源于非小号媒体平台:
PeckShield
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627092.html
游戏链游
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
区块链如何助力数据共享隐私保护?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。