APP:复盘数十万 EOS 被盗过程，背后是其架构设计缺陷？_LEOS

作者：

时间：1900/1/1 0:00:00

北京时间2018年12月19日凌晨，EOS网络中，包括BetDice在内的数个游戏DApp遭受黑客攻击，损失数十万枚EOS通证。

TokenInsight认为本次事件是由于部分游戏DApp为增强游戏体验，在自建节点中运行DApp，导致链上数据同步时出现错误。

因为部分代码和数据未被公开，攻击的重现难度较高。据推演，黑客可能的攻击手段如下：

EOS被盗流程推演图

来源：TokenInsight

万卉复盘Yam事件：反馈周期将是未来线上治理的关键参数:8月13日消息，Primitive Ventures创始合伙人万卉在微博复盘Yam事件，她提到反馈周期将是未来线上治理的关键参数，此外，项目方不应通过软性贿赂影响博弈结构。万卉还表示，在沟通过程中没有把复杂的信息做到社区可以消化的转述（这个确实很难，但是未来的社区治理要吸取经验教训），并且合约写死的时间线过于紧凑，导致出事没有足够的协调时间，这个当年在312的时候MAKER拍卖也发生过，当时也是时间太紧张导致流拍。这个反馈周期是未来线上治理一个很关键的参数，不能太短，也不能太长。

在号召投票的时候，不应该通过“软性贿赂”来影响博弈结果。譬如为了获取足够的票仓，来进行投票奖励。这个会影响理性的判断，特别是对于信息有限的社区成员，可能会带来负外部性。[2020/8/13]

1、黑客向DApp发送参与游戏的请求；

数据复盘：火币主力短多获利出局，当前或有新动作:AlCoin PRO版K线主力大单统计显示：7月7日凌晨左右，火而BTC当季合约累计成交15笔，共计3856.77万美元大额委托买单，这一过程Al-PD-持仓差值为较高绿柱，即持仓增加明显，可判断或为主力开多。

7月9日晚间，该合约累计成交8笔，1883.35万元大额委托卖单，这一过程Al-PD-持仓差值为较高红柱，即持仓减少明显，可判断或为主力平多。

可见，火币主力短多获利出局。刚刚该合约主力大单成交频繁，或有新动作。[2020/7/10]

2、黑客直接向BP节点发送取消游戏的请求，或使账户余额不足而导致转账失败；

复盘：两条趋势线突破均有主力买入成交确认:AICoin PRO版K线主力成交数据显示：23日20：35~23日21：35，比特币价格运行至4月19~23日四小时周期的下降趋势线（7305-7189）以及4月7日~23日四小时周期的下降趋势线（7475-7189）附近，并分别于20：35和21：35完成突破。

20：35第一条趋势线突破，突破前后，有4笔，共计950万美元主力买入成交；21：35第二条趋势线突破，突破前后，有7笔，共计1003万美元的主力买入成交。主力大单的迅速跟进确认了两条下降趋势线的突破。

随后，不断有大买单跟进说明了趋势还在持续，直到22：25分出现一笔500万美元的大卖单，趋势告一段落。[2020/4/24]

3、DApp将黑客的游戏请求发送至BP节点，并在自建节点上运行黑客的游戏结果，若运算出玩家胜利的结果，则向BP节点发送给予玩家奖励的请求；

4、BP节点先后收到「黑客取消游戏」请求、「DApp发送游戏」请求、「DApp给予游戏奖励」请求。因为时间顺序和转账冲突的原因，「黑客取消游戏」请求被执行，而「DApp发送游戏」请求执行失败，「DApp给予游戏奖励」请求被执行。

5、黑客收到DApp的转账，一次攻击完成。

首先，应对该种攻击手段，可将DApp读取的状态数据改为read-only模式，read-only模式下数据库包含传入区块的更改，但不影响speculative交易处理。

此外，关于此次EOS的安全事件，AnChainCEOVictor指出，AnChain在Ethereum以及EOS有关安全的问题上有着较丰富的经验与技术积累，并且也提供有关代码的安全检测服务，这次的安全事件是完全可以避免的。比如，DApp可以使用ref_block功能，在给玩家发放奖励前，判断用户是否真的转账成功。同时，Victor还指出，这个安全问题背后还暴露出了在EOS中更加严重的问题，相较于其他部分公有链，EOS区块链并不记录失败的交易，浏览器也无法查询，这是EOS在架构设计方面的缺陷。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

TokenInsight

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627096.html

EOS柚子

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险