安基网 首页 资讯 IT业界 查看内容

凌晨2点42分,EOS DApp的这个漏洞被黑客发现,安全团队彻底炸毛

2018-12-21 11:42| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 免责声明:本文不构成任何投资建议。小编:记得关注哦!文:零界EOS生态发展固然快,但是漏洞问题也一直困扰着生态发展。12月19日,众多EOS DApp再次遭遇回滚攻击,BetDice损失20万EOS, EOS Max损失超5万 EOS,ToBe ...
文:零界
EOS生态发展固然快,但是漏洞问题也一直困扰着生态发展。

12月19日,众多EOS DApp再次遭遇回滚攻击,BetDice损失20万EOS, EOS Max损失超5万 EOS,ToBet损失22000EOS,Big.game损失8000EOS。 攻击共造成28万EOS被盗,按照火币Pro EOS最新价格17.8元计算,这些EOS代币价值498.4万。

据IMEOS报道,ToBet今日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

至于为什么会发生这样的漏洞,IMEOS给出了详细的解释。攻击者发现了一个EOS Node的漏洞,由于API节点(备用节点)和BP节点(超级节点)同步有时间差,导致可回滚区块的交易可以被这个漏洞利用。攻击者利用这个漏洞下注,并只保留获胜的交易。
事实上,此前DApp网络也遭到了大量的此类攻击。

12月12日,黑客(helookitiqas)向EOS竞猜类游戏钓鱼高手(kittyfishing)发起攻击,在两个多小时内,共计发起91次攻击,总计获利558.85个EOS。该黑客账户(helookitiqas)在攻击得手后,将大部分所得资金转向币安交易所账号(binancecleos)。

同时,安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。此外,另有两款竞猜类游戏也于12月12日遭到了数十次同类型的攻击,损失数百个EOS,目前还有一款游戏合约尚未修复仍面临再次被攻击的风险。

11月27日,PeckShield发现,黑客ybdzmtgouwxn向一款EOS竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中。

PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。

针对BetDice等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过RPC接口get_actions 查询热钱包充值记录时,应检查充值 transaction所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。

EOS生态发展固然快,但是漏洞问题也一直困扰着生态发展。如果这些问题能得到彻底解决,那么DApp生态发展或许才能上一个新的台阶。

文章声明:本文为火星号作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者!

原标题:DApp再现回滚攻击,一天损失近500万

文章来源:31QU


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6636919516188115463/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部