出品
牧牛區塊鏈研究院是一所專注於區塊鏈生態教育的研究院——牧牛區塊鏈
12月18日,EOS因比特幣的大漲而開啟領漲模式,24小時漲幅高達17%。而就在暴漲之後,EOS遭遇了嚴重的集中攻擊,EOS競猜遊戲TRUSTBET、EOS MAX以及Big.game、ToBet均受到駭客攻擊,時間為昨日深夜至今日凌晨,總計損失達到30萬個EOS,按照目前的價格來算,約為78萬美金。
一連五款DAPP遭黑
據瞭解,昨夜23:35—23:40之間,駭客向EOS競猜類遊TRUSTBET遊戲合約發起攻擊,共計獲利11501個EOS,隨後分兩次將攻擊所得的EOS轉賬至火幣交易所賬號。目前,該遊戲已暫停運營。
PeckShield 安全人員初步分析發現,駭客發起攻擊利用的是重放攻擊漏洞。需要說明的是,這是一種最早出現於EOS DApp生態初期的攻擊形態,由於開發者設計的開獎隨機演算法存在嚴重缺陷,使得攻擊者可利用合約漏洞重複開獎,是一種較低階的錯誤。
與此同時,BetDice也發出相關公告,表示遭受不可回滾區塊漏洞攻擊,損失20萬 EOS。此次攻擊,是因為攻擊者發現了一個EOS Node的漏洞,對於不在不可回滾區塊的交易可以被這個漏洞利用,因為API節點和BP節點同步有一個時間差。攻擊者利用這個漏洞下注,並只保留獲勝的交易。這次攻擊並不是智慧合約級別的漏洞。
隨後,壞訊息接踵而至,Big.game 疑似遭遇駭客攻擊,損失估計18500個EOS;ToBet今日凌晨遇遇迴轉損失22000個EOS;PeckShield安全公告稱,EOS競猜遊戲EOS MAX遭駭客攻擊,損失55526個EOS。
僅僅睡了一覺起來,EOS就有五款DAPP遭遇了駭客攻擊,這讓人不寒而慄,EOS才從低谷開始爬升,就被駭客盯上,無疑已經成了駭客入侵的溫床。
博彩遊戲氾濫成駭客靶子
實際上,EOS已經不是第一次被黑。
IMEOS 研究院本月釋出了《EOS平臺DApp生態資料分析報告》,披露了 EOS自7月25日至11月4日的18個24起DApp安全事件。而這,僅僅是冰山一角,沒有披露出來的遠不止這些。
為何曾經被稱為區塊鏈3.0的EOS,如今卻成了駭客的靶子?
EOS遠超ETH的出快速度、處理速度,吸引眾多競彩類DAPP上線。
有資料統計,今年11月,EOS就增加了77個DApp,較10月份增長了50%,12月份前一個星期就增加了4個,如今DAPP總數已經達到201個。
而處於法律監管邊緣的競彩類遊戲又吸引大量資金湧入,有錢的地方就有江湖,更何況是吸金寶地,自然,駭客也盯上了這塊“肥肉”。
安全隱患恐難完全消除
倘若“肥肉”不腐爛,恐怕也難滋生細菌,吸引蒼蠅。但問題在於,不少DAPP在智慧合約中就存在較大的問題。
Armors合夥人郭永剛曾向區塊鏈媒體透露, EOS DApp發生的被攻擊事件大部分以隨機數攻擊為主,並非EOS本身的bug。
慢霧安全團隊在談及EOS被駭客攻擊時,還進一步指出,EOS爆發的安全問題主要集中在智慧合約層面,源於專案方缺乏安全意識,所寫的程式碼存在安全漏洞。
一系列的矛頭,都指向了DAPP的程式碼的安全漏洞。那麼,這個問題是否有解決方案呢,目前來看,並沒有。
但不難看出,就連專案開發者也沒有辦法完全解決目前存在的問題,而附著於EOS生態上的DAPP的亂象更是無解。
這樣看來,EOS生態上的DAPP被駭客攻擊的安全隱患恐怕難以短時間內得到消除。
