1月16日,據慢霧、PeckShield等安全公司披露,近期針對EOSDApp遭遇“交易排擠攻擊”的持續性威脅情報監測:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名DApp陸續被攻破,該攻擊團伙的攻擊行為還在持續。“交易排擠攻擊”是一種新型攻擊手法,攻擊者首先發起正常的轉賬交易,然后使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的defer交易,將項目方的開獎交易“擠”到下一個區塊中,此次攻擊源于項目方的隨機數算法使用了時間種子,使攻擊者提升了中獎幾率,導致攻擊成功。關于為何EOS競猜類游戲很難免疫這種新型攻擊手法時,PeckShield硅谷研發中心負責人Jeff表示:“所有競猜類游戲基本都包含隨機數的游戲機制,但本質上隨機數和區塊鏈網絡要求所有分布式節點運算結果保持一致存在內在矛盾。現有隨機數解決方案都采用的是鏈上數據,一定程度上可以實現偽隨機,但黑客可以搶先算出結果進而實現攻擊。”在這種攻擊中,我們首先要提到隨機數生成方式。DVP區塊鏈安全研究人員表示,隨機數對于區塊鏈技術來說非常關鍵,生成任何人不可知的真隨機數是目前區塊鏈生態存在的一個很難解決的問題,所以目前EOS競猜類DApp都是通過各種各樣的種子生成偽隨機數。在偽隨機數里,一旦黑客知道了生成隨機數的方案和取的種子,就有可能預測到結果,形成隨機數預測攻擊。偽隨機數生成方案分為鏈上和鏈下隨機種子隨機數生成方案兩種。據了解,鏈上隨機數種子生成方案即將區塊數據或區塊時間等鏈上數據作為種子,這種方案由于不需要用戶提供種子,更方便,對用戶門檻較低,因此即使有安全風險,也成為是目前EOS生態內最普遍方案。而EOS官方推薦的鏈下隨機種子隨機數生成方案,指的是種子來源于雙方用戶,不依賴于物理或鏈上數據,技術上更為安全,但對用戶不夠友好。另外有些競猜類DApp使用鏈外數據,即非鏈上數據,但也不來自用戶。這種方法雖然解決了用戶門檻和隨機數攻擊問題,但由于鏈外數據可能是公司用服務器生成的隨機數,有黑箱操作的風險,有失公平。區別于此前用到的隨機數預測攻擊,即通過破解隨機算法和隨機種子、黑隨機數的方法進行攻擊,EOSDAPP最近正遭受的“交易排擠攻擊”則是利用EOS底層的問題來攻擊的手法。據慢霧安全團隊介紹,通過延時交易攻擊者可以變相影響隨機數進行攻擊。DVP區塊鏈安全研究人員解釋說,一般的交易發送與執行過程是用戶通過cleos客戶端或其他方式將交易請求發送給API節點,在API節點處理后,最終到達超級節點進行打包出塊。問題在于,EOS公鏈允許正在執行的交易里發送延遲交易,從而繞過API節點的驗證,直接加入超級節點待執行隊列,同時會將這些交易信息同步給其他超級節點。因此,攻擊者可以先下注,然后通過部署合約運算,進而從API節點中得到結果,如果沒中獎,就發送延時交易,直到中獎為止。Jeff表示該攻擊是指攻擊者算出了隨機數結果對其不利,所以采取阻塞攻擊讓EOS網出的塊里只包含垃圾交易,沒有合法交易,進而進行隨機數預測攻擊。其本質是區塊鏈目前的隨機數機制產生的結果可以被猜出,進而被攻擊。關于攻擊的解決方案,DVP、慢霧和PeckShield都提到應采用官方推薦的鏈下隨機種子隨機數生成方案、采用完備的風控機制。慢霧還提到可以通過場景學習構建最合適的異常告警通知機制。據dappradar.com統計,EOSDApp中競猜類占比62%。所有的競猜類DAPP都用到隨機數,所以防范攻擊非常重要。據DVP區塊鏈安全研究人員,除競猜類DApp之外,該攻擊甚至還可以直接讓EOS主網癱瘓,但目前EOS主網已經修復該問題,DAPP仍沒有。我是Odaily星球日報記者遂心,加好友煩請備注姓名、單位、職務和事由。
聲音 | Dapper Labs首席執行官:區塊鏈的開放生態系統沒有得到足夠的重視:區塊鏈游戲CryptoKitties(加密貓)背后公司Dapper Labs首席執行官Roham Gharegozlou發文稱,讓盡可能多的人了解去中心化的好處是區塊鏈行業幾乎所有人都認同的一個原因。問題是,為了使技術更容易訪問,許多開發人員為了方便而犧牲了這一好處。去中心化的產品應該遵守對客戶的三個關鍵承諾: 1.抗審查:你的所有物是安全的,不能被篡改; 2.自主權:你擁有并控制自己的資產、身份和數據; 3.開放的生態系統:每個人都從新的貢獻中獲得價值。 第一點和第二點相對容易理解,但開放的生態系統沒有得到足夠的重視。開放的生態系統使任何人都可以為一個平臺或其他人在該平臺上的工作做出貢獻,并相應獲得獎勵。在以太坊,我們看到開放的生態系統出現在DeFi領域。在開放的生態系統中,用戶、開發人員和原始創建者都可以捕獲價值。用戶有更多的選擇,并可以最終決定什么是重要的;軟件創新的速度加快了,因為開發人員可以像使用樂高積木一樣使用彼此的代碼。(CoinDesk)[2019/8/18]
動態 | 過去24小時EOS Dapp活躍用戶達157466:據DappReview數據,今日Dapp新增8個,過去24小時EOS Dapp活躍用戶157466,交易額328萬EOS/1.1億元;Tron Dapp活躍用戶72768,交易額5.1億TRX/9512萬元;ETH Dapp活躍用戶7268,交易額1.4萬ETH/1587萬元;Steem Dapp活躍用戶12603,交易額35萬Steem/115萬元。[2019/4/3]
動態 | 發現有攻擊者惡意構建合約對多個Dapp發起攻擊:據IMEOS消息,EOS區塊時間11.27 17:23:58 17:26:04,有攻擊者惡意構造合約,對whaleextrust合約發起多次攻擊,第一次攻擊是綁定(bind),第二次是空投(verifyad)。由于WhaleEx的智能合約whaleextrust進行了嚴格的權限判定,這兩次攻擊均失敗。WhaleEx第一時間啟動了對系統與合約狀態的全面排查,目前在交易所的所有交易都不受影響,用戶資產也是安全的。這次攻擊并非單獨事件,而是一次泛化攻擊,多個Dapp均受影響,請項目方加強防范。[2018/11/28]
頭條 國家信息中心副主任朱幼平:從摩根大通穩定幣看2019或是鏈改2月23日,在石榴財經《穩定幣的“前世今生”》沙龍上.
1900/1/1 0:00:00編者按:本文來自:鏈捕手,作者:鄧仰東,清華大學副教授、MATRIX首席人工智能科學家,Odaily星球日報經授權轉發.
1900/1/1 0:00:00導語:無論從市場上可獲取公開信息的數字化證券項目,還是根據標準共識提供咨詢服務的項目信息來看,我們都可以確定:全球房地產行業正在經歷一次應用區塊鏈技術的革新.
1900/1/1 0:00:00昨日,以太坊交易發生多筆高Gas費交易,據了解,其中最高一筆2100ETH交易費的區塊由星火礦池打包.
1900/1/1 0:00:00AnOverviewofRealEstate&EquityCrowdfundingPlatformsAuthor:IvanKan.
1900/1/1 0:00:00本周一晚八點,Usechain×TokenClub專欄「曹輝寧與他的教授朋友們」在年前的最后一場直播圓滿結束.
1900/1/1 0:00:00