EOS區塊鏈在主網上線后一躍成為了活躍度排名第二的公鏈,據統計,EOS上線至今的DApp交易額達140億流水,新進場用戶攜大量資金助推了DApp的大火,但隨之而來也暴露出了EOS競猜類智能合約安全的嚴峻問題。經觀察發現,最近發生攻擊事件的頻次越來越密集,并且同一個安全問題多次反復地出現。因此,在EOS主網賬戶數突破50萬的今天,我們為大家盤點了EOS主網上線以來較為頻繁和嚴重的安全漏洞,希望能夠方便EOS社區了解和預防。
Part1EOSFomo3D狼人殺
背景
EOSFomo3D狼人殺是與以太坊上的Fomo3D相似的一款游戲。
攻擊者賬號:eosfomoplay1
攻擊手法:游戲合約遭受溢出攻擊
損失:60,686
始末
2018年7月25日,慢霧安全團隊發出警告,EOSFomo3D游戲合約遭受溢出攻擊,資金池變成負數。慢霧安全團隊由此呼吁EOS智能合約安全需引起重視。于是狼人團隊做了應急處置并上線了新合約之后,發生第二次攻擊,被攻擊者拿走60,686個EOS。
8月7日,EOS核心仲裁論壇對該次黑客行為仲裁后簽發仲裁令,首先緊急凍結黑客的EOS賬戶:eosfomoplay1。在區塊瀏覽器上可以看到,eosfomoplay1賬戶內EOS余額為61,117.0833EOS。
Part2EOSBet
背景
EOSBet是一款基于EOS開發并遭受過3次攻擊的擲骰子競猜游戲。
攻擊者賬號:aabbccddeefg;ilovedice123;whoiswinner1
攻擊手法:RAM被惡意合約吞噬、游戲方未檢驗transferaction的調用方導致被假幣套取真幣、「假通知」漏洞
損失:未披露44,427.43020
始末
2018年8月26日,IMEOS觀察到EOSBet項目方在主網電報群中反應其賬戶的RAM被一個合約惡意吞噬,隨后游戲方宣布EOSBet暫時下架以防進一步的攻擊。8月27日,游戲方在Medium發布該漏洞已暫時修復的聲明,游戲網站重新開啟。發生此事件之后,關于惡意合約吞噬RAM事件在Github上被提交多個issue和建議,最終這個問題得以解決。
EOSBet稍稍松了一口氣并立下「要在24小時內達到210萬交易筆數成為EOS上交易數最多的DApp」的Flag(如下圖)之后,迎來了下一波猛烈的黑客攻擊。
9月14日上午11時左右,黑客利用在EOS體系里發布的名為「EOS」的代幣在EOSBet平臺進行投注,而項目方的代碼中沒有檢查收到的EOS是否是eosio.token產生的正經EOS。于是賬戶aabbccddeefg在實際上沒有成本的情況下,在短短15分鐘之內造成了項目方損失了44,427.4302EOS和投注產生的1,170.0321BET。隨后這些EOS被轉移到了交易所。
“漢語盤點2021”活動正式啟動:虛擬貨幣、元宇宙入圍年度推薦字詞:金色財經報道,11月19日,由國家語言資源監測與研究中心、商務印書館等聯合主辦的“漢語盤點2021”啟動儀式在商務印書館舉行。啟動儀式上,主辦方推出“專家版本”和“大數據版本”的年度推薦字詞,其中國家語言資源監測與研究中心通過監測語料庫推薦的國際詞有氣候峰會、東京奧運會、塔利班、德爾塔、虛擬貨幣,清華大學教授沈陽作為“漢語盤點”活動的評議專家,推薦了“治、離、元宇宙、碳中和”等年度字詞。12月20日,“漢語盤點2021”揭曉儀式將揭開年度字詞的面紗。[2021/11/20 7:00:36]
9月17日,EOSBet宣布將存儲在熱錢包的75%的資金轉移至冷錢錢包,從而提高資金安全。在未來的數周里,EOSBet也執行一系列的安全更新。然后......
10月15日,EOSBet再次遭到黑客攻擊,資金被盜至Bitfinex。黑客賬號ilovedice123利用了「假通知」漏洞,構造了Memo:92-chickndinner-uHruy5esdfuh3HC8,對EOSBet合約eosbetdice11進行攻擊。
據慢霧安全團隊的攻擊流程圖顯示,本次攻擊中黑客創建了兩個賬戶:攻擊賬戶ilovedice123和攻擊合約whoiswinner1。游戲合約在apply里沒有校驗transferaction的調用方必須是eosio.token或者是自己的游戲代幣合約。攻擊賬戶ilovedice123向攻擊合約whoiswinner1轉賬后,EOSBet合約的transfer函數被成功調用,誤將攻擊賬戶ilovedice123當成下注玩家,被套走了142,845個EOS。
對于這次攻擊,慢霧安全團隊發出了預警:EOS游戲DApp在處理transfer通知時需要校驗transfer中的to是否為self,避免「假通知」漏洞。
據了解,項目方已經在交易所追回了本次攻擊損失的EOS。
Part3Luckyos
背景
Luckyos是一個被攻擊后停運至今的EOS游戲平臺。
攻擊者賬號:guydgnjygige
攻擊手法:隨機數算法被破解
損失:未披露
始末
2018年8月27日,Luckyos旗下的石頭剪刀布游戲隨機數產生的規律被黑客破解,攻擊者通過持續在指定時間出石頭來贏得獎勵,該辦法有38%概率獲勝。目前該游戲網站luckyos.io已經停運。
Part4EOSWIN
背景
EOSWIN是一個開源后被攻擊的EOS游戲平臺。
攻擊者賬號:lockonthecha
攻擊手法:隨機數算法被破解
損失:2,0004,00020,000
央行盤點2020:積極運用區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”:央行發布《盤點央行的2020 | ⑦金融科技和金融基礎設施》表示,積極運用大數據、人工智能、區塊鏈等技術將金融服務融入實體經濟“關鍵動脈”。首個由我國專家召集制定的ISO標準《銀行產品服務描述規范》正式發布,同時牽頭研制移動支付、區塊鏈、綠色金融等多項國際標準。(中國人民銀行公眾號)[2021/1/11 15:53:08]
始末
2018年9月2日,EOSWIN同樣的隨機數被破解,損失2000個EOS。
9月15日,繼EOSBet之后,EOSWIN也受到了「假幣攻擊」,黑客用不存在的「EOS」投注贏走了約4000個EOS,導致EOSWIN暫時關閉。
11月11日,EOS.WIN將其平臺DApp全面開源,此后慢霧安全團隊觀察到該游戲合約被攻擊者攻破,約被盜20000EOS。慢霧安全團隊表示發現攻擊EOSDice和FFGame和EOS.WIN三個DApp的攻擊者疑似同一攻擊者和使用了類似的攻擊手法,攻擊手法目前正在進一步驗證中。目前EOS.WIN正在修復相關合約。
Part5DEOSGames
背景
DEOSGames是一個被攻擊仍在運行的EOS游戲平臺。
攻擊者賬號:未知
攻擊手法:隨機數算法被破解
損失:4,000
始末
2018年9月10日,黑客破解了DEOSGames游戲平臺下Dice的隨機數算法,在不到一個小時的時間里,連續24次「贏得」獎金約2.4萬美元。
隨后項目方在社交媒體上發布一份簡短的聲明,證實其智能合約確實遭到黑客攻擊,并且在聲明中將這一惡意攻擊稱為「良好的壓力測試」。
Part6HappyEOSSlot
背景
HappyEOSSlot是一個被攻擊后恢復運行的EOS競猜游戲。
攻擊者賬號:imeosmainnet
攻擊手法:重放攻擊
損失:5,000
始末
2018年9月12日,黑客賬戶通過在transfer方法中加入鉤子開關,卡死reveal等動作成立重放攻擊,導致HappyEOSSlot損失了5000個EOS。
Part7FairDice
背景
FairDice是DappPub游戲平臺上的一款游戲。
攻擊者賬號:iloveloveeos
攻擊手法:隨機數算法被破解
損失:4,000
始末
同在9月12日,DappPub游戲平臺上的FairDice也被同一個手法攻破,造成損失4,000EOS。黑客賬戶iloveloveeos利用游戲的隨機算法和時間相關,拒絕了所有失敗的開獎結果從而謀利。
恒指期貨夜盤現漲0.69%,報23909點,較恒指最新收盤點位高水160點:恒指期貨夜盤現漲0.69%,報23909點,較恒指最新收盤點位高水160點。(金十)[2020/4/6]
iloveloveeos在11月15日晚用同樣的手法攻破了LuckyGo。
Part8Newdex
背景
Newdex是基于EOS的去中心化交易所。
攻擊者賬號:oo1122334455;dapphub12345;iambillgates
攻擊手法:黑客利用假幣在交易所交易換取真幣
損失:11,803
始末
2018年9月14日,在EOSBet爆出黑客利用假幣投注贏取真幣的安全漏洞后,當天下午兩點,EOS合約帳戶oo1122334455發行了一個名為「EOS」的token,并且將十億假EOStoken全額分配給EOS賬戶dapphub12345,然后由該賬號將假代幣轉入賬戶iambillgates。攻擊賬戶用小額假EOS驗證攻擊成功后,于14:31:34至14:45:41進行大額攻擊,分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD,且全部成交。
Newdex發現異常后啟動了應急措施修復系統,強制下架IPOS/EOS交易對,15:52-16:33期間停止運營。此次攻擊造成Newdex用戶損失11,803EOS,項目方表示承擔所有損失。
Part9EOSBank(柚資銀行)
背景
EOSBank(柚資銀行)是一個支持EOS存款和租賃服務的平臺,經歷過攻擊后,平臺暫時只繼續開放了租賃CPU服務。
攻擊者賬號:fuzl4ta23d1a
攻擊手法:合約賬號的owner權限被修改
損失:18,000
始末
2018年10月5日下午6時37分,EOSBank(柚資銀行)合約賬號eosiocpubank被攻擊者修改owner權限,之后被轉走18,000EOS到賬戶名為fuzl4ta23d1a的EOS賬號。
隨后該賬號將所盜得的EOS轉移至交易所,這筆資金現在被項目方申請凍結著。目前項目方只恢復了CPU租賃服務。
Part10WorldConquest
背景
WorldConquest是一個基于EOS并且類似于像素大師的游戲,目前游戲已停止運行。
攻擊者賬號:cryptoplease
攻擊手法:黑客利用游戲繳稅規則,拒絕后續的買家
損失:4,555
始末
2018年10月16日,獵豹旗下第三方大數據平臺RatingToken監測到基于EOS開發的DAPPWorldConquest被黑客攻擊。隨后官方在其Discord發布公告確認被攻擊的事實,黑客利用游戲繳稅規則,拒絕后續的買家,導致游戲非正常結束,黑客拿走資金池中所有EOS,最后合約中僅剩0.0155個EOS。通過合約轉賬數據發現,被盜資金被轉移至火幣。
動態 | Cointelegraph盤點2019年最具活力和影響力的區塊鏈公司:Cointelegraph發文盤點2019年最具活力和影響力的區塊鏈公司,具體如下:
1. 加密貨幣托管和清算獲得動力:Gemini;
2. 去中心化穩定幣交易加速:Maker/DAI;
3. 游戲協議吸引主流興趣:TRON / WINk;
4. 利用不斷擴展的開發者社區:Ethereum;
5. 比特幣生態系統中的智能合約和DeFi:RSK;
6. 衍生品讓機構投資者的興趣達到頂峰:Bakkt;
7. 向加密生態系統添加資本市場功能:Binance;
8. 打開法幣閘門:Simplex;
9. 擴大對加密解決方案的訪問和認知:Coinbase;
10. 傳統支付公司利用加密技術并鼓勵采用:Skrill。[2020/2/10]
Part11EosRoyale
背景
EosRoyale依然是一個基于EOS的游戲平臺。
攻擊者賬號:fortopplayx1;fortopplayx2;fortopplayx3;fortopplayx4;fortopplayx5;fortopplayxx
攻擊手法:隨機數被破解
損失:10,800EOS。
始末
IMEOS在Reddit發現EosRoyale項目方發布消息稱團隊錢包于10月26日遭到黑客攻擊,總體損失大約11,000EOS($60,000)。原因已查明是隨機數發生器的漏洞,黑客能夠設法通過使用先前塊的信息來計算隨機數發生器算法的未來數量,從而從EosRoyale錢包中竊取60,000美元。
目前該漏洞已修復,團隊完全重新構建了隨機化算法,現在EosRoyale中的隨機數基于分配期間的哈希塊。
Part12EOSPOKER
背景
EOSPoker是一個基于EOS的BlackJack。
攻擊者賬號:未知
攻擊手法:官方在拓展服務器時忘記將種子放入數據庫中
損失:1,374.3750
始末
2018年10月28日凌晨,EOSPoker玩家發現游戲流水在上漲,但獎金池在減少。經查證后發現原因是官方在拓展服務器時忘記將種子放入數據庫中,868590期游戲之后不再記錄種子。因此,出現了玩家利用獲勝的種子贏取獎池的情況。EOSPoker官方宣布,因自己的技術失誤導致的損失將由官方承擔,以后會不斷地優化,避免類似事件再次發生。
事件后合計EOSPoker項目方損失1,374.3750EOS,229.0625POKERtoken。最終團隊拿出了1,500EOS來彌補這次的損失。
Part13EOSCast
背景
午間行情盤點:BTC比特幣報7977美元,24小時跌幅約10.43%。ETH以太幣報797美元,24小時跌幅約10.64%。瑞波幣報5.66元人民幣,24小時漲幅0.70%。ADA艾達幣報2.18元人民幣,24小時漲幅約7.94%。[2018/2/11]
EOSCast類似于第一個使用區塊哈希值為開獎號碼游戲的EOSPlay,游戲僅上線10小時就遭到了攻擊。
攻擊者賬號:refundwallet
攻擊手法:假EOS轉賬變種
損失:72,912個EOS
始末
2018年10月31日凌晨00:15,EOSCast游戲遭遇黑客攻擊,被與EOSBet9月份時遭遇的同一種攻擊手法被黑客轉走72,912個EOS。區塊鏈安全公司PeckShield跟蹤發現,當天00:15開始,黑客賬戶refundwallet就嘗試對EOSCast游戲合約eoscastdmgb1實施攻擊。黑客先以「假EOS」攻擊方式進行轉賬攻擊8次,未能得逞,后又采用「假EOS轉賬變種」的方式成功攻擊9次。
根據游戲規則,黑客分別以100、1,000、10,000個假EOS展開攻擊,每次攻擊可得到198、9,800、19,600個不等的EOS,在實施最后一次攻擊時,游戲團隊察覺到異常攻擊,及時轉走了獎金池僅剩的8,000個EOS。
最終,黑客共計獲利72,912個EOS,根據EOS當下行情35RMB估算,EOSCast平臺損失超255萬RMB。受此影響,EOSCast游戲緊急下線,據了解,該游戲上線僅10個小時。
ECAF針對此事件發布了仲裁令,希望節點能凍結如下六個賬戶:refundwallet、jhonnywalker、alibabaioeos、whitegroupes、24cryptoshop、minedtradeos。
Part14EOSDICE
背景
EOSDice是一個兩次被攻破但是依然堅持開源的EOS競猜類游戲。
攻擊者賬號:jk2uslllkjfd;
攻擊手法:隨機數被攻破以及隨機數再次被攻破
損失:2,545.11354,633
始末
2018年11月4日上午,EOSDice合約賬戶由于隨機數被破解遭到黑客賬戶jk2uslllkjfd的攻擊,即使游戲方在發現攻擊后立刻將合約資金轉移到安全賬號,依然損失了2545.1135EOS,該筆資金被轉至火幣交易所。
11月10日上午,EOSDice再次因為隨機數問題被黑客賬號coinbasewa11攻擊,損失的4633EOS被轉入Bitfinex交易所。經慢霧安全團隊分析,本次攻擊者與11月8日攻擊FFGameDApp的黑客是同一個,攻擊手法也是由于使用了可控的隨機數種子。
Part15EOSeven
背景
EOSeven是一款基于EOS的擲骰子游戲,項目方在眾籌完成后不久出現了官方賬戶被大額轉出SVN到Newdex上賣出的事件。嚴格意義上該次事件并不是黑客攻擊,但團隊的此行為也是一種安全隱患,因此收錄在本次事件盤點當中。
攻擊者賬號:tuningfinish
攻擊手法:內部成員進行大額轉賬
損失:未披露
始末
2018年11月4日晚,EOSeven官方賬戶出現大額轉賬,由eosevendice2轉出6億SVN至賬戶tuningfinish,后轉回4.5億至eosevendice2。隨后tuningfinish在Newdex上出售了轉出的SVNtoken,最后將所得EOS轉入幣安交易所。
隔天凌晨,EOSeven團隊發布公告,稱操作大額轉賬的人系團隊內成員。團隊表示所有的SVN將會從地址eosevendice2轉移到eosevendice1,以防止類似事件再次發生。
團隊持有的SVN將會被鎖定6個月,同時,svntokenico1的CPU被質押給eosevendice1。此前募集到的EOS也質押給eosevendice1。
Part16FFGAME
背景
FFgame是基于EOS的一款游戲平臺,在游戲開始正式運營之前遭到隨機數破解攻擊。
攻擊者賬號:jk2uslllkjfd
攻擊手法:隨機數破解
損失:1,332
始末
2018年11月8日凌晨,賬戶jk2uslllkjfdFFgame在FFgame游戲中不斷獲勝,FFgame平臺隨機數疑似被破解。截止攻擊結束,獎池僅剩70余個EOS。被盜的EOS已被轉移到火幣交易所,項目方已向火幣提交工單要求凍結。
賬戶jk2uslllkjfd曾于11月4號破解過EOSDice的隨機數,這是其第二次盜幣。
Part17HireVibes&AirDropsDAC
背景
HireVibes是基于EOS的求職平臺,連接求職者、雇主、推薦人和招聘人員,通過同行推薦來填補空缺職位,從而創建一個擁有合理招聘費用的公平激勵模型。近期正在發放空投,由于第三方代發空投平臺AirDropsDAC的合約私鑰泄露導致HVTtoken被盜。
攻擊者賬號:sym111111add;gizdkmjvhege
攻擊手法:第三方代發空投合約私鑰泄露
損失:2,514
始末
2018年11月12日,AirDropsDAC合約賬戶的大量HVT在非本人操作下轉入到了sym111111add賬戶,隨后該賬戶在去中心化交易平臺Newdex套現2,514EOS,這筆EOS隨后又被轉入到gizdkmjvhege賬戶。
據IMEOS分析,賬戶sym111111add為新加坡節點EOSIO.SG的測試賬戶,由于私鑰在Github泄露被黑客盜用,并利用此賬號將盜得的HVT在Newdex交易換取2,514EOS,并且轉移到賬戶gizdkmjvhege。
ECAF在昨天發出了凍結該賬戶的緊急仲裁令,但是賬戶里的EOS已經被轉移到了OTCBTC平臺。通過轉賬記錄查詢,除了HVTtoen,在同一時間段從AirDropsDAC合約賬戶丟失的還有ZKStoken。
emmm...簡單地說這就是一個黑客利用兩個泄露私鑰的賬戶謀取EOS的故事。事發后HireVibes項目方也第一時間站出來,澄清了是第三方平臺的漏洞,但是經此事件會更加小心地監督以及向第三方服務平臺提醒,這件事情正在進一步調查,不過項目進度不會受到影響,HireVibesBeta版本會在2019年初發布出來。
MOREWallet早在錢包推行之初就萬般強調助記詞和私鑰千萬不能放在聯網的設備里,設置僅自己可見也不行!如果懷疑私鑰或助記詞私鑰泄露,可以進入錢包的管理賬號頁面重置私鑰。
Part18LuckyGo
背景
LuckyGo是一款上線沒多久就被攻擊到下線的EOS競技類游戲。
攻擊者賬號:iloveloveeos
攻擊手法:隨機數缺陷攻擊
損失:未知
始末
2018年11月15日晚23時14分,LuckyGo玩家群有玩家反映投注贏了但是沒有收到獎勵。隨后調查發現,當晚22時12分開始,賬戶iloveloveeos就從LuckyGo合約賬戶不斷贏取獎勵。才會造成LuckyGo合約賬戶被掏空,給不出正常玩家獲勝獎勵的情況出現。目前該游戲已暫時下線。
根據慢霧安全團隊分析,攻擊手法還是「隨機數缺陷攻擊」,攻擊者iloveloveeos(惡意合約)在今年9月份因為用同樣的手法攻擊FairDice已經被曝光。
特別致謝
本文特別致謝慢霧安全團隊和區塊鏈安全公司PeckShield的情報分析!
慢霧安全團隊為EOS開發者提供了《EOS智能合約最佳安全開發指南》,點擊可查看。
參考
ECAFAO005仲裁令(https://eoscorearbitration.io/wp-content/uploads/2018/08/ECAF-Order-of-Emergency-Protection-2018-08-07-AO-005.pdf)
慢霧知識星球https://t.zsxq.com/qnEIqj6
累計薅走數百萬,EOSDapps已成黑客提款機?-DAppReview(https://zhuanlan.zhihu.com/p/44676266)
EOSDApp充值「假通知」漏洞分析-慢霧安全團隊(https://mp.weixin.qq.com/s/8hg-Ykj0RmqQ69gWbVwsyg)
Newdex關于假EOS刷幣事件的公告(https://support.newdex.io/hc/zh-cn/articles/360015772052關于假EOS刷幣事件的公告)
EosRoyale被盜聲明
ECAFAO017仲裁令
ECAFAO018仲裁令
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
IMEOS
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627074.html
EOS柚子漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
「幣圈楊超越」?8大套路帶你看清傳銷幣真相!
Tags:EOSICEDICEDICLEOSModulus Domains ServiceXWC Dice TokenDIC幣
作者:KevinPan,畢業于滑鐵盧大學軟件工程專業,從事網站編程、以太坊DApp開發編譯:PerryWang說加密貨幣市場的表現有別于傳統市場,過于輕描淡寫了.
1900/1/1 0:00:00作者:VictorFangWholetthespankhurt?據Coindesk消息,數字貨幣項目SpankChain稱其在周六下午18:00左右遭受了黑客攻擊,損失了165.38ETH.
1900/1/1 0:00:008月15日,MichaelTerpin對美國電信巨頭AT&T正式提起訴訟,要求賠償2.24億美元.
1900/1/1 0:00:00設計好的資本再循環活動會提高PoS網絡生產力,實現更大的實用價值,也會減少對投機的依賴,有助PoS資產的增長.
1900/1/1 0:00:00據Coindesk近日報道,科技巨頭亞馬遜(Amazon)獲得了一項專利,可以使用各種技術構建一個類似比特幣等區塊鏈使用的工作量證明(PoW)加密系統.
1900/1/1 0:00:00寫在前面的話:任何事物都有陰陽兩極,陽光總是伴隨著陰影。行業里面有很多的投機主義者,也不乏價值的堅守者,他們不畏牛熊,不論陽光或陰雨,將贊賞與誹謗一一吞下,一步一個腳印,朝著理想的目標,前進、前.
1900/1/1 0:00:00