谢谢大家点开这篇文章,话说最近的天气开始冷了,为了避免换季感冒,小编只能裹着大毛毯上班了,大家也要注意保暖呦,这个季节感冒太不好受了,爱你们哟,比心比心。
近日,EOS公链频繁爆出安全问题,黑客攻击者利用多种巧妙的手段去攻击部署在EOS上的区块链游戏,由于众多开发者的“风控”能力较低,从而使得黑客可以轻松将账户系统中的资金转走。
一时间,关于EOS DApp生态安全问题的讨论甚嚣尘上。链得得发现,此次在EOS公链上爆发的安全问题依然集中在竞猜博彩类游戏项目上。而对于EOS公链来说,博彩类游戏遭到的攻击已经完全影响到EOS整个网络的安全,因为博彩类游戏在EOS公链中贡献了90%以上的交易量。
黑客攻击回顾
首先,我们先来回顾一下近日在EOS公链上陆续爆出的黑客攻击事件。
10月15日午间,知名EOS公链博彩游戏平台EOSBet遭遇恶意攻击,损失巨额EOS。安全公司PeckShield分析发现,黑客利用EOSBet合约在检验收款方时存在的漏洞“伪造转账通知”,从EOSBet合约eosbetdice11中获利138,319.7995EOS。更可怕的是,在EOSBet上线十天内就遭到了3次攻击。
10月31日凌晨,EOSCast游戏遭到黑客连续9次的强势攻击,7万多EOS被黑客转走。黑客这次主要采取了一种“假EOS”的攻击手段,可理解为,黑客创建了一种基于EOS的代币,并将其命名为“EOS”,开始大量给被攻击合约账号转账假EOS代币,由于合约没有检测EOS的发行方,误把“假EOS”转账视为真的,进而调用了合约中的transfer函数,按照开奖流程分配了奖金。
11月8日凌晨1点,EOS公链上又一款竞猜类游戏FFgame遭遇了黑客攻击,黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415)发起多达304次攻击,共计获利1,331.2922个EOS。这次攻击主要是通过“写合约代码计算出游戏中奖规律”实施攻击。
10月10日,EOS竞猜游戏EOSDice再遭黑客攻击,损失4,633个EOS。此次EOSDice遭攻击原因同样是由于“随机数问题被攻破”。11日早,DApp EOS.WIN 也被攻击者(lockonthecha)攻破。
安全公司PeckShield安全专家华南告诉链得得,“假通知”、“假EOS”对于开发者来说是很低级的错误。抛开这些涉及金额较大的黑客攻击事件,在10月份,黑客利用不同的账户在一直侵袭着EOS公链。直到10月15日,博彩游戏EOSBet被黑客盗走14万EOS后,才逐渐引起市场关注。而在此之后,黑客玩法不断变化,针对EOS的攻击手段愈加猖獗。而在近一个月内,已经先后有超5款EOS竞猜类游戏遭到了攻击。
EOS沦为“博彩”公链
关于EOS的安全问题,在主网上线前就被安全公司360揪出“史诗级漏洞”,在后来的运行中,受之于用户对于EOS公链此前大肆宣传和现实使用中的落差,EOS在这半年的运行可以概括为“不温不火”。之后是在9月份,以太坊网络中一款叫做“Fomo3D”的资金盘游戏开启吸金模式,从用户关注度到以太坊的资金流量,都围绕在了这款游戏上。不出意外的是,当时因巨额奖池的诱惑,黑客选手也将魔爪伸了进来,大奖空投遭黑客疯狂盗取。
随后因安全问题频发,玩家热情逐渐消退,以太坊博彩类游戏重归于寂静。但是在一个月后,EOS平台上复制出现的竞猜、博彩类游戏同样在复制着以太坊“受害者”角色,资金游戏的运行终究没有逃出黑客选手的关注,黑客开始频繁袭扰EOS。链得得发现,黑客的突然出现与DApp的活跃情况保持着高度的相关性。
据DappReview显示,截至11月11日,EOS公链中运行着158款DApp,其中“抽奖”类别的DApp有77款。如果按“24h成交额”升序发现,前50名中99%是抽奖类游戏。而对比以太坊,就可以更直观看到黑客为何在EOS公链上这么活跃。
领取专属 10元无门槛券
私享最新 技术干货