1月16日,据慢雾、PeckShield等安全公司披露,近期针对EOSDApp遭遇“交易排挤攻击”的持续性威胁情报监测:EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名DApp陆续被攻破,该攻击团伙的攻击行为还在持续。“交易排挤攻击”是一种新型攻击手法,攻击者首先发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的defer交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。关于为何EOS竞猜类游戏很难免疫这种新型攻击手法时,PeckShield硅谷研发中心负责人Jeff表示:“所有竞猜类游戏基本都包含随机数的游戏机制,但本质上随机数和区块链网络要求所有分布式节点运算结果保持一致存在内在矛盾。现有随机数解决方案都采用的是链上数据,一定程度上可以实现伪随机,但黑客可以抢先算出结果进而实现攻击。”在这种攻击中,我们首先要提到随机数生成方式。DVP区块链安全研究人员表示,随机数对于区块链技术来说非常关键,生成任何人不可知的真随机数是目前区块链生态存在的一个很难解决的问题,所以目前EOS竞猜类DApp都是通过各种各样的种子生成伪随机数。在伪随机数里,一旦黑客知道了生成随机数的方案和取的种子,就有可能预测到结果,形成随机数预测攻击。伪随机数生成方案分为链上和链下随机种子随机数生成方案两种。据了解,链上随机数种子生成方案即将区块数据或区块时间等链上数据作为种子,这种方案由于不需要用户提供种子,更方便,对用户门槛较低,因此即使有安全风险,也成为是目前EOS生态内最普遍方案。而EOS官方推荐的链下随机种子随机数生成方案,指的是种子来源于双方用户,不依赖于物理或链上数据,技术上更为安全,但对用户不够友好。另外有些竞猜类DApp使用链外数据,即非链上数据,但也不来自用户。这种方法虽然解决了用户门槛和随机数攻击问题,但由于链外数据可能是公司用服务器生成的随机数,有黑箱操作的风险,有失公平。区别于此前用到的随机数预测攻击,即通过破解随机算法和随机种子、黑随机数的方法进行攻击,EOSDAPP最近正遭受的“交易排挤攻击”则是利用EOS底层的问题来攻击的手法。据慢雾安全团队介绍,通过延时交易攻击者可以变相影响随机数进行攻击。DVP区块链安全研究人员解释说,一般的交易发送与执行过程是用户通过cleos客户端或其他方式将交易请求发送给API节点,在API节点处理后,最终到达超级节点进行打包出块。问题在于,EOS公链允许正在执行的交易里发送延迟交易,从而绕过API节点的验证,直接加入超级节点待执行队列,同时会将这些交易信息同步给其他超级节点。因此,攻击者可以先下注,然后通过部署合约运算,进而从API节点中得到结果,如果没中奖,就发送延时交易,直到中奖为止。Jeff表示该攻击是指攻击者算出了随机数结果对其不利,所以采取阻塞攻击让EOS网出的块里只包含垃圾交易,没有合法交易,进而进行随机数预测攻击。其本质是区块链目前的随机数机制产生的结果可以被猜出,进而被攻击。关于攻击的解决方案,DVP、慢雾和PeckShield都提到应采用官方推荐的链下随机种子随机数生成方案、采用完备的风控机制。慢雾还提到可以通过场景学习构建最合适的异常告警通知机制。据dappradar.com统计,EOSDApp中竞猜类占比62%。所有的竞猜类DAPP都用到随机数,所以防范攻击非常重要。据DVP区块链安全研究人员,除竞猜类DApp之外,该攻击甚至还可以直接让EOS主网瘫痪,但目前EOS主网已经修复该问题,DAPP仍没有。我是Odaily星球日报记者遂心,加好友烦请备注姓名、单位、职务和事由。
报告:以太坊DApp占DApp市场95%以上的交易量和85%的活跃用户:CoinDesk Research在推特上表示,根据TokenInsight发布的报告,基于以太坊的DApp占据了DApp市场95%以上的交易量和85%的活跃用户。[2020/11/27 22:18:45]
动态 | EOS/ETH/TRON?Dapp新增用户量均呈下降趋势:据RatingDapp和RatingToken大数据监测显示,最近一周EOS/ETH/TRON三大主流公链平台Dapps新增用户分别为:EOS +17,805,环比上周下降0.28%;ETH+27122,环比上周下降16.18%;TRON+7527,环比上周下降0.63%。从周活跃用户来看,EOS?Dapp周活跃用户为?158,181,环比上周上升5.63%,周活排名第一Dapp为hash_baby(47,806);ETH?60,885,环比上周下降9.14%,排名第一Dapp为IDEX(12,374);TRON?91,206,环比上周下降1.61%,排名第一Dapp为ddex(17,787)。[2019/7/22]
动态 | iOS版本Coinbase钱包中dapp游戏将被删除:据coindesk报道,iOS版本的Coinbase钱包应用程序中的视频游戏War Riders即将被删除。在该游戏中,玩家在一个末日荒地上行驶,在区块链上建造大量由NFT通证代表的车辆。根据coindesk获得的一张截图,Coinbase的一名员工告诉游戏背后的公司Cartified称:“我们将(把该游戏)从iOS版本中删除,因为我们不能突出便于购买数字商品的dapps。”据悉,该游戏仍在安卓版本的Coinbase钱包应用程序中列出。[2018/9/1]
标签:DAPPDAPAPPEOSblockchainresearchandapplicationDapper币抹茶交易所官网app下载neos币什么情况
Tokenview链上数据解读区块链市场总览Tokenview行情|24小时市值前五的数字货币成交额排名及占比根据Tokenview.com数据显示.
1900/1/1 0:00:00即将到来的以太坊网络Constantinople升级为SSTORE操作引入了更便宜的gas成本.
1900/1/1 0:00:00据星球日报了解到,以太坊开源开发团队已经就君士坦丁堡激活时间达成协议,旨在为社区用户提供更多、更新的区块链功能.
1900/1/1 0:00:00根据火币内部员工透露,北京火币天下网络技术有限公司深圳分公司全体裁员,分公司将解散。据Odaily星球日报向知情人士了解到,北京火币天下网络技术有限公司深圳分公司此前大约有20多名员工,目前仅剩.
1900/1/1 0:00:00本文来自:巴比特,作者:链视界,星球日报经授权转发。“区块链”是当下最热的词汇之一。毫不夸张的说,区块链之于产业,一如硬盘之于1980年代的电脑,电商之于2000年代的互联网.
1900/1/1 0:00:00通证通研究院出品文:宋双杰,CFA;Linky导读平台通证在熊市要经历戴维斯双杀过程,纯粹的多头策略无法保证在熊市中获利,对冲是熊市获利的金钥匙。摘要估值是一门古老的投资学问.
1900/1/1 0:00:00
月亮链