EOS:席卷EOS游戏超500万元的黑客攻击，究竟是怎么一回儿事？

12月18日晚间至19日凌晨，多个EOS头部DAPP遭受攻击。EOSMax、ToBet、BigGame和BetDice遭受交易回滚攻击，分别损失55000EOS、22000EOS、14903.18EOS、200000EOS。此外，黑客利用重放攻击漏洞向竞猜类游戏TRUSTBET发起攻击，获利11501EOS。几款游戏共损失303404.18EOS，以EOS单价18元来估算，合计约546万元。遭受攻击的几款游戏基本为EOS头部较活跃的竞猜类游戏。据PeckShield报道，其中的竞猜类游戏BetDice近一周日均活跃度超5,000人，交易额也在5,000万EOS以上。PeckShield创始人蒋旭宪表示，这次攻击背后是同一个团伙或个人。攻击BetDice的账号hnihpyadbunv创建了账号eykkxszdrnnc，用来攻击EOSMax与BigGame。账号eykkxszdrnnc又创建了子账号kfexzmckuhat用来攻击ToBet。攻击成功后，再频繁创建子账户转移所得资产。对于这次攻击，蒋旭宪向Odaily星球日报表示，ECAF追回盗取的EOS预计难度比较大，目前已经牵涉到1808个账户，数量还在增长中。这次攻击究竟是怎么回事儿？

Robinhood第二季度加密收入环比下降18%至3100万美元:金色财经报道，在线交易平台Robinhood最新财报显示，第二季度加密货币交易收入为3100万美元，较第一季度的3800万美元环比下降18%，第二季度加密货币交易收入为3100万美元，占所有类别交易收入1.93亿美元的16%，该收入环比下降7%。

该公司还报告称托管着1150万美元的加密资产，与第一季度末持有的金额相同，第二季度总体营收为4.86亿美元，高于分析师预期的4.73亿美元。

6月份，Robinhood在SEC针对Binance和Coinbase的诉讼中终止了对被归类为证券的代币的支持，分别是Cardano (ADA)、Polygon (MATIC) 和 Solana (SOL)，该平台目前支持15种不同加密货币的交易。[2023/8/3 16:15:10]

PeckShield安全人员认为，EOSMax、ToBet、BigGame和BetDice这四款竞猜类游戏被攻击事件，均和EOSNode存在漏洞有关。持有同样看法的还有EOSMAX，据IMEOS.ONE报道，EOSMAX发布公告，称是由于EOSNode存在漏洞导致，并非游戏合约存在漏洞。据业内不具名人士向Odaily星球日报透露，这次交易回滚攻击与项目方的nodeos开启了speculativemode有关，开发者需要关闭该mode来避免攻击。对于这次交易回滚攻击的具体过程，MEET.ONE的负责人Goh向Odaily星球日报表示，认为此次攻击过程如下：1.黑客通过攻击合约账户A向游戏合约B转账下注，游戏合约实时开奖，给账户A发放奖励。2.游戏合约B使用的节点开始往EOS网络同步这笔交易C。3.攻击合约账户A执行assert，超级节点未打包交易C，所有节点回滚交易C。4.黑客获得交易C的数据，如果下注胜利，正常执行交易C，如果失败开始下一次攻击。币乎的“胖哥”分享了佳能和MYKEY技术团队对本次回滚攻击调查方式推演的一个推断：攻击方式是抓住了DAPP节点读写没有分离的漏洞，黑客直接运用DAPP读的节点去发送交易，那么该节点会最早执行合约逻辑计算DICE结果，如果黑客赢那就不做任何操作，等该节点广播同步到块节点就赢了。如果黑客输了，黑客同时发送一笔转账操作到目前正出块主节点，让账号余额不足以完成先前的那笔交易，那么先前的那笔交易就会被废弃，那么黑客就不会输了。综上运用的方式还是传统的方式：双花！DAPP应该自查一下是否讲读写分离以及读节点设置成read-only。目前，据IMEOS.ONE报道，此前因遭受交易回滚攻击而暂停运营的EOSMax，经过团队调查、与BP商讨解决方案，已经成功修复问题，目前已恢复服务。团队将采用读写分离的方式来修复该问题，读取采用read-only的节点，写入采用另一个节点以规避回滚交易漏洞。此外，对于TRUSTBET遭受的重放攻击漏洞，PeckShield安全人员认为这是一种最早出现于EOSDApp生态初期的攻击形态，由于开发者设计的开奖随机算法存在严重缺陷，使得攻击者可利用合约漏洞重复开奖，是一种较低级的错误。业内人士怎么看？

OogaVerse项目Discord服务器遭到攻击:金色财经报道，据CertiK监测，OogaVerse项目Discord服务器遭到攻击。请社区用户在服务器修复之前不要点击任何链接。[2023/2/3 11:44:45]

对于这次攻击，MEET.ONE的负责人Goh向Odaily星球日报表示，这已经不是EOS第一次被攻击了，甚至攻击的手法和发现的漏洞都不算有技术难度。只能说EOS生态发展地非常快，但项目的研发能力和安全能力相对滞后。对于EOS上的项目而言，生产环境就是最好的测试环境，不断地遇到问题后需要不断地迭代。”纯白矩阵创始人吴啸向Odaily星球日报表示，EOS的愿景是不错的，但是需要更加稳定可能才更适合开发者。目前EOS的机制设计方面存在隐患，比如可以替换合约，对开发者的权限限制不足。此外，EOS还存在BP的反映时间长等问题。不过，最近EOS发布侧链，BM又推出wasm解释器、扫码登录PC端的Dapp，在安全方面会有所提升，会对EOS持续关注。对于这次攻击，还有人从EOS生态的角度给出了观点。DappReviewCEO牛凤轩向Odaily星球日报表示，这是一起非常大的安全事故，但是从今天早上开始看到，节点和多个发生被攻击的游戏项目方开始合作，研究如何解决问题。而且，BetDice还友好地提醒了自己的竞争对手。这些良性的行为对于EOS的生态建设很有帮助。我是Odaily星球日报的齐明，探索真实区块链，日常喜欢和各路大神聊天。项目交流、爆料请加微信qingmoruoshui，烦请备注姓名、公司、职务。转载/内容合作/报道联系report@odaily.com；违规转载法律必究。

Peter Thiel在BlockFi破产中受到打击:金色财经报道，根据提交给破产法庭的文件，一家从Thiel的Thiel Capital分拆出来的风险投资公司Valar Ventures拥有BlockFi 19%的股份。这使Valar成为BlockFi的最大股东之一。今年早些时候，Valar支持的另一家加密货币贷款机构Vauld Group冻结了客户提款，并向其在新加坡的债权人申请保护。Valar的高管和Thiel先生的发言人没有立即回应置评请求。

随着比特币和其他数字资产的贬值，加上今年FTX、BlockFi和其他几家大型加密货币公司的倒闭，已经让风险投资家蒙受了数亿美元的损失。包括红杉资本和新加坡主权财富基金淡马锡在内的投资者已经注销了他们对FTX的九位数投资。据华尔街日报此前报道，到2018年，Thiel先生帮助创立的另一家风险投资公司Founders Fund在其多个基金中积累了价值数亿美元的比特币。[2022/11/29 21:08:14]

香港房地产大亨郑志刚旗下C Capital计划筹集5亿美元投资区块链资产:9月21日消息，香港房地产大亨、周大福家族财富继承人郑志刚旗下基金C Capital计划在未来18个月内筹集5亿美元用于投资区块链资产、信贷和私募股权，押注私营公司和数字资产。知情人士称，该公司还由美银美林前银行家Ben Cheng共同创立，Cheng表示，其对冲基金策略主要专注于加密交易。（彭博社）[2022/9/21 7:10:14]

标签：EOSBETDAILYILYPIXEOSWBETDailySwap TokenDAILY

比特币交易所热门资讯