月亮链 月亮链
Ctrl+D收藏月亮链
首页 > PEPE币 > 正文

APP:复盘数十万 EOS 被盗过程,背后是其架构设计缺陷?_LEOS

作者:

时间:1900/1/1 0:00:00

北京时间2018年12月19日凌晨,EOS网络中,包括BetDice在内的数个游戏DApp遭受黑客攻击,损失数十万枚EOS通证。

TokenInsight认为本次事件是由于部分游戏DApp为增强游戏体验,在自建节点中运行DApp,导致链上数据同步时出现错误。

因为部分代码和数据未被公开,攻击的重现难度较高。据推演,黑客可能的攻击手段如下:

EOS被盗流程推演图

来源:TokenInsight

万卉复盘Yam事件:反馈周期将是未来线上治理的关键参数:8月13日消息,Primitive Ventures创始合伙人万卉在微博复盘Yam事件,她提到反馈周期将是未来线上治理的关键参数,此外,项目方不应通过软性贿赂影响博弈结构。万卉还表示,在沟通过程中没有把复杂的信息做到社区可以消化的转述(这个确实很难,但是未来的社区治理要吸取经验教训),并且合约写死的时间线过于紧凑,导致出事没有足够的协调时间,这个当年在312的时候MAKER拍卖也发生过,当时也是时间太紧张导致流拍。这个反馈周期是未来线上治理一个很关键的参数,不能太短,也不能太长。

在号召投票的时候,不应该通过“软性贿赂”来影响博弈结果。譬如为了获取足够的票仓,来进行投票奖励。这个会影响理性的判断,特别是对于信息有限的社区成员,可能会带来负外部性。[2020/8/13]

1、黑客向DApp发送参与游戏的请求;

数据复盘:火币主力短多获利出局,当前或有新动作:AlCoin PRO版K线主力大单统计显示:7月7日凌晨左右,火而BTC当季合约累计成交15笔,共计3856.77万美元大额委托买单,这一过程Al-PD-持仓差值为较高绿柱,即持仓增加明显,可判断或为主力开多。

7月9日晚间,该合约累计成交8笔,1883.35万元大额委托卖单,这一过程Al-PD-持仓差值为较高红柱,即持仓减少明显,可判断或为主力平多。

可见,火币主力短多获利出局。刚刚该合约主力大单成交频繁,或有新动作。[2020/7/10]

2、黑客直接向BP节点发送取消游戏的请求,或使账户余额不足而导致转账失败;

复盘:两条趋势线突破均有主力买入成交确认:AICoin PRO版K线主力成交数据显示:23日20:35~23日21:35,比特币价格运行至4月19~23日四小时周期的下降趋势线(7305-7189)以及4月7日~23日四小时周期的下降趋势线(7475-7189)附近,并分别于20:35和21:35完成突破。

20:35第一条趋势线突破,突破前后,有4笔,共计950万美元主力买入成交;21:35第二条趋势线突破,突破前后,有7笔,共计1003万美元的主力买入成交。主力大单的迅速跟进确认了两条下降趋势线的突破。

随后,不断有大买单跟进说明了趋势还在持续,直到22:25分出现一笔500万美元的大卖单,趋势告一段落。[2020/4/24]

3、DApp将黑客的游戏请求发送至BP节点,并在自建节点上运行黑客的游戏结果,若运算出玩家胜利的结果,则向BP节点发送给予玩家奖励的请求;

4、BP节点先后收到「黑客取消游戏」请求、「DApp发送游戏」请求、「DApp给予游戏奖励」请求。因为时间顺序和转账冲突的原因,「黑客取消游戏」请求被执行,而「DApp发送游戏」请求执行失败,「DApp给予游戏奖励」请求被执行。

5、黑客收到DApp的转账,一次攻击完成。

首先,应对该种攻击手段,可将DApp读取的状态数据改为read-only模式,read-only模式下数据库包含传入区块的更改,但不影响speculative交易处理。

此外,关于此次EOS的安全事件,AnChainCEOVictor指出,AnChain在Ethereum以及EOS有关安全的问题上有着较丰富的经验与技术积累,并且也提供有关代码的安全检测服务,这次的安全事件是完全可以避免的。比如,DApp可以使用ref_block功能,在给玩家发放奖励前,判断用户是否真的转账成功。同时,Victor还指出,这个安全问题背后还暴露出了在EOS中更加严重的问题,相较于其他部分公有链,EOS区块链并不记录失败的交易,浏览器也无法查询,这是EOS在架构设计方面的缺陷。

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

TokenInsight

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627096.html

EOS柚子

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

慢雾:破解造成BetDice项目恐慌的交易回滚攻击手法

下一篇:

知道创宇携手中信云合作案例获评「2018企业服务案例TOP50」

标签:APPDAPDAPPEOStime币官网下载appInstadappBonkey dAPPLEOS

PEPE币热门资讯
EOS:盘点:黑客今年卷走币圈 10 亿美金,交易所、DApp、钱包无一幸免_稳定币和加密货币

2018年,加密货币领域发生了大量黑客攻击事件。据统计,这一年黑客卷走超过10亿美金,交易所是重灾区,DApp、个人钱包、公司服务器无一幸免,纷纷沦为黑客的「提款机」.

1900/1/1 0:00:00
比特币:分析:比特币遥遥领先于竞争币_数字资产

据Longhash分析,竞争币最近的表现并不理想。据此前报道,在过去30天里,大多数非比特币数字资产的表现都逊于比特币.

1900/1/1 0:00:00
数字资产:DragonEx 交易所共计损失 602 万美元数字资产,已有近百万流入交易所_SHI

据PeckShield数字资产护航系统初步统计显示,DragonEx交易所共损失了价值6,028,283美元的数字资产,且已经有价值929,162美元的数字资产流入了交易所,目前尚有价值5.

1900/1/1 0:00:00
BAR:BAR - 生态币的缔造者_区块链存证怎么操作

区块链技术以前所未有的发展速度,聚焦全球资本和市场。而谁能在公链中脱颖而出,谁就能决定行业中的地位.

1900/1/1 0:00:00
比特币:犇睿视角 | 贸易战下 比特币真的会是避险的武器之一吗?_比特币市场规模排名

核心摘要:有学者认为中国保卫人民币可以使用黄金、稀土、比特币等。比特币确实当前具备一定的避险价值,体现在其信用背书机制、流动性及支付手段作用三个方面.

1900/1/1 0:00:00
COIN:FINRA 指控经纪人欺诈交易未注册的加密货币_COI

据美国金融业监管局网站9月11日星期二发布的一份声明称,美国金融业监管局已向TimothyTiltonAyre提起诉讼,指控他进行证券欺诈和非法分发非注册加密货币.

1900/1/1 0:00:00