(图片来源于网络)12月05日,新上线的又一款EOS竞猜类游戏Fastwin遭到黑客攻击,区块链安全公司PeckShield态势感知平台捕捉到了该攻击行为并率先进行了安全播报披露。数据显示,当天凌晨03:18—04:15之间,黑客(ha4tsojigyge)向Fastwin游戏合约(fastwindice3)发起124次攻击,共计获利1,929.17个EOS。PeckShield安全人员分析发现,该攻击行为是黑客利用Fastwin的合约在校验合约调用方时存在的漏洞,导致“内联反射(inlineReflex)”攻击成功。据PeckShield此前发布的《浅析DApp生态安全》的报告显示,截止11月底,已经发生了超27起EOSDApp安全事件,主要集中在假EOS攻击、随机数问题等攻击方式,且在不断升级演变。而这次看似较小的攻击事件背后却暴露出了一个较以往危害性可能更大的新型漏洞:EOSIO官方系统对调用合约自身函数存在不校验权限的问题。
动态 | 竞猜类游戏BitDice遭黑客假EOS攻击:今天早晨06:40-06:50之间,PeckShield安全盾风控平台DAppShield监测到黑客向竞猜类游戏BitDice发起连续攻击,获利四千多EOS,并已转至EXMO、ChangeNOW等多家交易所。PeckShield安全人员追踪链上数据分析发现,黑客采用的是“假EOS”攻击手段。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/10/12]
(图一:PeckShield与Block.one邮件沟通)PeckShield认为这是一个非常严重的漏洞,并第一时间通知了Block.one团队。Block.one官方团队接受了该漏洞提议,并告知我们有其他研究团队也事先独立汇报了该漏洞,最终于周四(12月13日)更新了紧急补丁以补救防御,同时次日新发布1.5.1和1.4.5两个版本,完成了该漏洞修复,避免了更多攻击事件的发生及可能造成的资产损失。“内联反射(inlineReflex)”攻击原理正常的转账流程如图所示:玩家通过调用系统合约(eosio.token),将EOS转账给游戏合约,触发游戏合约的分发逻辑(apply),进而调用相关函数实现开奖。
动态 | EOS某非竞猜类DApp遭黑客攻击损失5万EOS:今日凌晨2:23-2:40之间,PeckShield安全盾风控平台DAppShield监测到黑客向EOS DApp nkpaymentcap发起连续攻击,成功获利5万个EOS。PeckShield安全人员分析发现,黑客采用假转账通知攻击获取大量合约代币,又将代币通过DApp合约兑换成真EOS进行套现。PeckShield安全人员在此提醒,开发者应在合约上线前做好安全测试,特别是要排除已知攻击手段的威胁,必要时可寻求第三方安全公司协助,帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/3/11]
而此次的攻击者(ha4tsojigyge),在自己帐号部署的合约中包含了与游戏合约相同的操作函数,在转账完成后,自行开奖获得奖金。如图所示:
动态 | 竞猜类游戏playgames遭受攻击:据降维安全实验室智子区块链监控系统监测到,知名竞猜类游戏playgames被恶意用户niyoubudou33持续攻击,截至发稿时已被攻击295次,获利2158个EOS,目前攻击还未停止。降维安全实验室在此提醒广大开发者应高度警惕,及时做好安全布控及攻击测试,排查潜在攻击的风险。[2019/1/16]
从图中可以看出,攻击者在自身合约的函数(pushck)中,内联调用了与游戏合约开奖同名的函数(check),再通过通知(require_recipient)的方式将信息发送到了游戏合约。此时游戏合约的分发逻辑(apply)没有过滤掉此信息,并调用了开奖函数(check)。总之,攻击者利用了EOSIO系统中对调用合约自身函数不校验权限的漏洞,进而使用游戏合约(fastwindice3)的帐号权限发起内联调用,致使绕过游戏合约在敏感函数中校验调用者权限的方法(require_auth),从而获取了游戏合约发放的奖励。修复方法从上述分析能够发现,攻击者合约的通知信息中,实际调用的合约是攻击者合约(ha4tsojigyge),而非游戏合约(fastwindice3),因此在游戏合约的分发逻辑(apply)中过滤掉此类信息即可。而且从系统定义的宏(EOSIO_ABI或者EOSIO_DISPATCH,如图四)中能够看到,分发逻辑处理了此问题。因此PeckShield在此提醒开发者在定制化自己的分发逻辑时,需要特别注意其中的调用来源。
深层次及兼容性问题需要强调的是:这个问题属于EOS公链层的较大漏洞,攻击者在内联调用中可以伪造任意帐号的权限执行,但这个修复可能会给部分开发者造成兼容性问题,如合约内联调用函数,而执行者帐号(actor)不是自己的时候,会导致整个交易(transaction)执行失败,如需解决兼容性问题请给合约赋予执行者帐号的eosio.code权限。
标签:EOSSHIELDSHIELDEOS LYNXShield Tokensashimi币能涨到一千吗Zeusshield
最火热的时候,币圈滚滚的暴利,让想要抢占挖矿“风口”的人们来不及细思究竟,便纷纷跳入了挖矿大潮.
1900/1/1 0:00:0012月10日消息,香港上市公司麦迪森控股发布公告,于2018年12月9日,该公司的间接全资附属子公司MadisonLabLimited作为买方签立购股协议.
1900/1/1 0:00:0012月7日,据外媒报道,总部位于迈阿密的数字电信战略公司UnitedAmericanCorp宣布,公司将对BitcoinCashABC的支持者提起诉讼.
1900/1/1 0:00:00编者按:本文来自:碳链价值,演讲者:AndreasM.Antonopoulo,视频整理者:FloodedStrand,文章整理者:江小渔、方辰,odaily星球日报经授权转载.
1900/1/1 0:00:00编者按:本文来自:橙皮书,作者:橙皮书,星球日报经授权转发。在“一切向钱看”的时代,很容易忘记一件事情,那就是,人类的历史远早于钱的历史,黄金还不是钱的时候,人就已经是人了.
1900/1/1 0:00:002018年,这个本被视为区块链爆发的元年,在即将落下帷幕的年关,我们回头望去,却发现区块链行业遍地狼藉。在这一年,大家看待区块链技术的观点出现了巨大分歧,越来越多的人开始怀疑区块链是个伪技术.
1900/1/1 0:00:00