月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 币赢 > 正文

EOS:席卷EOS游戏超500万元的黑客攻击,究竟是怎么一回儿事?_BET

作者:

时间:1900/1/1 0:00:00

12月18日晚间至19日凌晨,多个EOS头部DAPP遭受攻击。EOSMax、ToBet、BigGame和BetDice遭受交易回滚攻击,分别损失55000EOS、22000EOS、14903.18EOS、200000EOS。此外,黑客利用重放攻击漏洞向竞猜类游戏TRUSTBET发起攻击,获利11501EOS。几款游戏共损失303404.18EOS,以EOS单价18元来估算,合计约546万元。遭受攻击的几款游戏基本为EOS头部较活跃的竞猜类游戏。据PeckShield报道,其中的竞猜类游戏BetDice近一周日均活跃度超5,000人,交易额也在5,000万EOS以上。PeckShield创始人蒋旭宪表示,这次攻击背后是同一个团伙或个人。攻击BetDice的账号hnihpyadbunv创建了账号eykkxszdrnnc,用来攻击EOSMax与BigGame。账号eykkxszdrnnc又创建了子账号kfexzmckuhat用来攻击ToBet。攻击成功后,再频繁创建子账户转移所得资产。对于这次攻击,蒋旭宪向Odaily星球日报表示,ECAF追回盗取的EOS预计难度比较大,目前已经牵涉到1808个账户,数量还在增长中。这次攻击究竟是怎么回事儿?

欧洲央行行长:计划推出数字欧元(CBDC),并将对支付进行控制:金色财经报道,欧洲央行行长拉加德透露,计划推出数字欧元(CBDC),并将对支付进行控制。(Watcher.Guru)[2023/4/7 13:49:19]

PeckShield安全人员认为,EOSMax、ToBet、BigGame和BetDice这四款竞猜类游戏被攻击事件,均和EOSNode存在漏洞有关。持有同样看法的还有EOSMAX,据IMEOS.ONE报道,EOSMAX发布公告,称是由于EOSNode存在漏洞导致,并非游戏合约存在漏洞。据业内不具名人士向Odaily星球日报透露,这次交易回滚攻击与项目方的nodeos开启了speculativemode有关,开发者需要关闭该mode来避免攻击。对于这次交易回滚攻击的具体过程,MEET.ONE的负责人Goh向Odaily星球日报表示,认为此次攻击过程如下:1.黑客通过攻击合约账户A向游戏合约B转账下注,游戏合约实时开奖,给账户A发放奖励。2.游戏合约B使用的节点开始往EOS网络同步这笔交易C。3.攻击合约账户A执行assert,超级节点未打包交易C,所有节点回滚交易C。4.黑客获得交易C的数据,如果下注胜利,正常执行交易C,如果失败开始下一次攻击。币乎的“胖哥”分享了佳能和MYKEY技术团队对本次回滚攻击调查方式推演的一个推断:攻击方式是抓住了DAPP节点读写没有分离的漏洞,黑客直接运用DAPP读的节点去发送交易,那么该节点会最早执行合约逻辑计算DICE结果,如果黑客赢那就不做任何操作,等该节点广播同步到块节点就赢了。如果黑客输了,黑客同时发送一笔转账操作到目前正出块主节点,让账号余额不足以完成先前的那笔交易,那么先前的那笔交易就会被废弃,那么黑客就不会输了。综上运用的方式还是传统的方式:双花!DAPP应该自查一下是否讲读写分离以及读节点设置成read-only。目前,据IMEOS.ONE报道,此前因遭受交易回滚攻击而暂停运营的EOSMax,经过团队调查、与BP商讨解决方案,已经成功修复问题,目前已恢复服务。团队将采用读写分离的方式来修复该问题,读取采用read-only的节点,写入采用另一个节点以规避回滚交易漏洞。此外,对于TRUSTBET遭受的重放攻击漏洞,PeckShield安全人员认为这是一种最早出现于EOSDApp生态初期的攻击形态,由于开发者设计的开奖随机算法存在严重缺陷,使得攻击者可利用合约漏洞重复开奖,是一种较低级的错误。业内人士怎么看?

萨尔瓦多通过数字资产法案:金色财经报道,萨尔瓦多立法议会周三批准了一项关于发行除比特币以外的数字资产的法律。立法中包括发行比特币支持债券(也称为火山债券)的法律框架。62名立法者对该法案投了赞成票,16人投了反对票。[2023/1/12 11:07:09]

对于这次攻击,MEET.ONE的负责人Goh向Odaily星球日报表示,这已经不是EOS第一次被攻击了,甚至攻击的手法和发现的漏洞都不算有技术难度。只能说EOS生态发展地非常快,但项目的研发能力和安全能力相对滞后。对于EOS上的项目而言,生产环境就是最好的测试环境,不断地遇到问题后需要不断地迭代。”纯白矩阵创始人吴啸向Odaily星球日报表示,EOS的愿景是不错的,但是需要更加稳定可能才更适合开发者。目前EOS的机制设计方面存在隐患,比如可以替换合约,对开发者的权限限制不足。此外,EOS还存在BP的反映时间长等问题。不过,最近EOS发布侧链,BM又推出wasm解释器、扫码登录PC端的Dapp,在安全方面会有所提升,会对EOS持续关注。对于这次攻击,还有人从EOS生态的角度给出了观点。DappReviewCEO牛凤轩向Odaily星球日报表示,这是一起非常大的安全事故,但是从今天早上开始看到,节点和多个发生被攻击的游戏项目方开始合作,研究如何解决问题。而且,BetDice还友好地提醒了自己的竞争对手。这些良性的行为对于EOS的生态建设很有帮助。我是Odaily星球日报的齐明,探索真实区块链,日常喜欢和各路大神聊天。项目交流、爆料请加微信qingmoruoshui,烦请备注姓名、公司、职务。转载/内容合作/报道联系report@odaily.com;违规转载法律必究。

FTX首席工程师曾修改FTX代码,使Alameda头寸免于自动清算:12月14日消息,据路透社披露,2020年年中,FTX首席工程师对加密货币交易所的软件进行了秘密更改,代码调整之后,FTX创始人Sam Bankman-Fried(SBF)旗下对冲基金Alameda Research免于交易平台上的一项功能,即如果Alameda亏损过多借入资金,可自动出售Alameda的资产。

在解释这一变化的说明中,工程师Nishad Singh强调,FTX永远不应该出售Alameda的头寸。Singh在该平台代码的评论中写道:“要格外小心,不要清算”,该平台代码显示他参与了代码的编写。(路透社)[2022/12/14 21:43:32]

韩国OK金融集团公布加密资产启动计划:金色财经报道,韩国的OK 金融集团公布了创建加密资产的计划。OK Financial Group 也可以选择在国外推出其代币,该公司表示其硬币将在今年年底前准备就绪。该公司将通过其OK Investment Partners (OKIP) 子公司发行该代币,并将标志着所谓的“二级”金融行业的“第一”。该公司已邀请区块链公司提交合作提案,并将听取愿意开发其将命名为 OK Coin 的公司的投标。该公司可能会被许多其他国内金融业参与者追随进入 ICO 和加密市场。(cryptonews)[2022/6/12 4:19:42]

标签:EOSBETDAIDAILYEOSTDBET币MDAI价格DAILYS价格

币赢热门资讯
比特币:比特币核心开发者Jimmy Song:熊市为什么糟糕又为什么有利_CAP

比特币市场的熊市已经持续了将近一年,这是一个艰难的处境。在资产下跌时持有资产是一件困难的事情,而在这个市场中度过难关需要很大的勇气.

1900/1/1 0:00:00
区块链:乌托邦承诺的重演,幻梦如烟,恰似当年,一个25年互联网观察者的反思_ripple币怎么买卖

作者简介:AndrewLeonard,1962年出生,美国记者。互联网传媒25年老兵,曾为旧金山湾区卫报、Salon.com、连线杂志、Medium多家媒体撰稿.

1900/1/1 0:00:00
BAS:对标美联储,融资1.33亿美元,却因监管压力面临退资停运……_ASI

12月13日,据外媒TheBlock援引知情人士报道,稳定币项目Basis遇到了监管阻力,决定停止运营,正在向投资者退回之前获得的投资资金.

1900/1/1 0:00:00
WOR:对不起,这4点让你误解了“降准”_pNetwork

历史不会重演,只会押韵。——引言本周末,市场讨论最多的是,中国央行公布了降准1个百分点!1月4日晚间央行发布消息称,为进一步支持实体经济发展,优化流动性结构,降低融资成本,决定下调金融机构存款准.

1900/1/1 0:00:00
STO:STO 走不通?一文详解 Reg A+_MES

继上篇讲述「XY」公司案例募资结构,本篇展开讲解RegA+合规的详细内容。RegA+豁免又称为「Mini-IPO」,因为其披露义务与IPO十分相似,都要准备分发发行说明书和发售函,但是RegA+.

1900/1/1 0:00:00
HUS:一群“疯子”在公海碉堡上建立了数字王国——区块秘史之二_husdc币

通证通研究院×FENBUSHIDIGITAL联合出品文:宋双杰,CFA;唐皓特别顾问:沈波,Rin锈迹斑斑的人造建筑里,弥漫着潮湿的海风和挥之不去的柴油味.

1900/1/1 0:00:00