尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
黑客的攻擊手段從最初的「溢出攻擊」到9.10月份的「假EOS攻擊」、「重放攻擊」、「假轉帳通知攻擊」,而後到近期屢試不爽的「隨機數攻擊」和「交易回滾攻擊」,黑客的攻擊手法正在不斷演變且愈發複雜。金色財經攜手降維安全實驗室,以時間為順序,挑選了2018年30個EOS DApp安全事件典型案例。
典型案例:
(1)7月25日,EOS Fomo 3D遊戲合約遭受溢出攻擊,攻擊者(eosfomoplay1)拿走60686個EOS。
(2)8月22日,Fomo 3D (Last Winner)遭受黑客攻擊,損失10469個ETH(價值約300萬美金)。安比(SECBIT)實驗室首次宣布判定Fomo 3D大獎獲得者採取了一些「特殊攻擊技巧」,攻擊者通過高額手續費吸引礦工優先打包,最終以較低成本針對性地堵塞區塊,加速遊戲結束,提高自己獲勝概率。
Tip:9月24日,Fomo 3D第二輪遊戲開始之後,黑客採用相似的攻擊手段,拿到了3264.668個以太坊獎勵。
(3)8月27日,Luckyos旗下的石頭剪刀布遊戲被黑客(黑客帳號:guydgnjygige)攻破,攻擊手法:隨機數算法被破解,損失未知,目前該遊戲網站luckyos.io已經停運。
(4)9月2日,EOS.win「隨機數」被破解,損失2000EOS(本次攻擊項目方未向公眾披露)。
(5)9月9日,DEOS Games因為智能合約漏洞問題遭到攻擊,RunningSnail的DEOSGames兩個用戶進行下註,用1000美元支付了數十次,存入10個EOS,然後在30秒後贏得頭獎。損失價值約24,000美元的EOS。
(6)9月10日,EOSBet遭到黑客攻擊,共計損失了4000個EOS。該遊戲在9月共遭到了三次黑客攻擊。
9月12日,EOSBet遭受黑客利用「假幣攻擊」,未投註就獲得42000個大獎。
9月14日,EOSBet遭受黑客「假通知」攻擊,損失145321個EOS,目前損失已被追回。
(7)9月12日,LuckyGo遭到攻擊者iloveloveeos(惡意合約)攻擊而被迫下線。
11月15日,LuckyGo再次遭到「隨機數」攻擊,LuckyGo是第一個上線沒多久就被攻擊到下線的EOS競技類遊戲。攻擊者帳號:iloveloveeos(與FairDice攻擊者帳號相同),損失未知。
(8)9月12日EOS Happy Slot遭黑客重放攻擊,損失5000個EOS。一名帳號為imeosmainnet的黑客利用「重放攻擊」,導致項目方損失了5000個EOS。
(9)9月12日,DAppPub遊戲平台上的Fair Dice遭「重放攻擊」攻破,損失4000EOS,黑客帳戶iloveloveeos利用遊戲的隨機算法和時間相關(即不同時間獲得不同遊戲結果),拒絕了所有失敗的開獎結果而牟利。
(10)9 月 14 日,去中心化交易所 Newdex 遭到「假幣攻擊」。黑客創造全新EOS代幣命名為「EOS」,發起攻擊者EOS帳戶oo1122334455總共發行了10億個EOS假幣(EOS 發行量為 10 億),攻擊者將假幣沖進NEWDEX交易所,並掛出大額買單,用11800個EOS假幣兌換了大量等值真幣,共計獲利 11803 個 EOS,價值5.9萬美金。
(11)9月15日,EOS.Win遭受黑客「假幣攻擊」,黑客用不存在的「EOS」投註贏走了4000個EOS,導致EOS WIN暫時關閉。
(12)10月5日,EOSBank(柚資銀行)合約帳號eosiocpubank被攻擊者修改owner權限,被轉走18000EOS到帳戶名為fuzl4ta23dla的EOS帳號。
(13)10月15日,黑客利用EOSBet合約在檢驗收款方時存在的漏洞,偽造轉帳通知,總計從eosbetdice11獲利138,319.7995EOS。
其中72,150 EOS流入了Bitfinex,65,100 EOS流入了Poloniex。共計損失價值超500萬元。
(14)10月16日,World Conquest遭受黑客利用遊戲「繳稅規則」攻擊,拒絕其他玩家參與,進而盈利4555個EOS,被盜資金被轉移至火幣。
(15)10月26日,EOS Royale遭受黑客「隨機數」攻擊,損失10800個EOS。
過程:黑客通過調用隨機數發生器,計算出先前區塊的信息,進而獲得遊戲隨機數,從而破解EosRoyale錢包,並竊取價值60000美金的EOS代幣。
(16)10月28日,EOS Poker遭受黑客「種子漏洞」攻擊,損失1374.3750個EOS,2290625token。最終團隊拿出了1500個EOS來彌補這次的損失。
(17)10月31日,EOSCast遊戲僅上線10小時就遭遇黑客「假幣攻擊」,導致72912個EOS被黑客轉走。
過程:根據遊戲規則,黑客(黑客帳戶refundwallet)分別用100、1000、10000個假EOS代幣進行攻擊,每次攻擊可得到198、9800、19600個不等的EOS。在進行最後一次攻擊時,遊戲方察覺到異常攻擊,及時轉走了獎金池僅剩的8000個EOS。
(18)11月1日,EOS CAST遭到黑客攻擊,導致72912個EOS被盜。ECAF(EOS核心仲裁委員會,對智能合約有仲裁權限)針對此事件即時響應,並發布了仲裁令,凍結了相關涉事帳戶。
(19)11月4日,EOSDice發公告稱智能合約遭到攻擊(EOSDice是一個兩次被攻破但是依然堅持開源),但由於其擁有自動檢測功能,在攻擊之後,合約自動將剩餘資金轉移至安全地址。此事件依然導致EOSDice損失2545.1135個EOS,該筆資金被轉至火幣。攻擊者帳號:jk2uslllkjfd。
(20)11月8日,FFgame遭遇了黑客攻擊,黑客帳戶jk2uslllkjfd向FFgame遊戲合約(eoswallet415)發起多達304次攻擊,共計獲利1331.2922個EOS,被盜的EOS已被轉移至火幣。
(21)11月10日,黑客向MyEosVegas遊戲合約(eosvegasjack)發起超700次攻擊,已獲利超9000個EOS。
(22)11月10日,EOSDice再次因為「隨機數」問題被黑客帳號coinbasewall攻擊,損失的4633EOS被轉入Bitfinex交易所。
(23)11月11日,EOS.Win遭受了第二次攻擊。此次攻擊黑客在一分鐘之內,共計向EOS.Win遊戲合約(eosluckydice)發起10次攻擊,獲利超9180個EOS。
(24)11月12日,HireVibes發放空投時因第三方代發空投平台AirDropsDAC的合約私鑰泄露導致HVT token被盜。攻擊者帳號:sym111111add;gizdkmjvhegem,共計損失2514個EOS。
(25)12月3日,Dice3D遭遇黑客攻擊,損失10569.346個EOS。黑客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。
(26)12月18日,TRUSTBET遭到「交易所回滾攻擊」,共計損失11501個EOS。
(27)12月19日,ToBet.game遭到「交易回滾攻擊」,共計損失22000個EOS。
(28)12月19日,Big.game遭到「交易回滾共計」,共計損失14903.18個EOS。
(29)12月19日,BetDice遭到「交易回滾攻擊」,共計損失200000個EOS。
(30)12月20日,EOS MAX遭到「交易回滾攻擊」,共計損失55000個EOS。
總結:降維安全實驗室認為:目前EOS上的區塊鏈遊戲仍然存在巨大的安全問題