EOS DApp 現新型交易排擠攻擊及通用防禦建議
By ·
據慢霧威脅情報分析系統分析,2019 年 1 月 11 日凌晨,EOS.WIN 遭遇駭客攻擊。EOS.WIN 的攻擊者 loveforlover 採用的是新型攻擊手法,為“交易排擠攻擊”,這種攻擊手法與之前攻擊 bocai.game 的攻擊手法為同一種攻擊手法。攻擊者首先是使用 loveforlover 發起正常的轉賬交易,然後使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的 defer 交易,將專案方的開獎交易“擠”到下一個區塊中,此次攻擊源於專案方的隨機數演算法使用了時間種子,使攻擊者提升了中獎機率,導致攻擊成功。值得注意的是,在 1 月 13 日凌晨 2:40 左右,慢霧威脅情報系統再次捕獲到類似攻擊,攻擊者透過部署攻擊合約 sil******day,對知名的競技類遊戲 DApp FarmEOS 發起攻擊,短短 7 分鐘左右,透過 Dice 遊戲,獲利了 5000 多枚 EOS,並很快洗進交易所。其攻擊手法與 EOS.WIN 遭受攻擊的手法相同,攻擊合約 sil******day 向 FarmEOS 下注後,並在攻擊合約接收到 transfer 通知時,發起大量 defer 交易,使 FarmEOS 後續的開獎動作被延後。慢霧安全團隊已經第一時間將此次攻擊情報同步給了目標交易所,同時建議所有的專案方和開發者不要在隨機數演算法內加入時間種子,防止被惡意攻擊。而目前 FarmEOS Dice 也已經暫停。這一次針對 EOS DApp 的新型攻擊手法,慢霧安全團隊給出幾點通用防禦建議對抗“交易排擠”等新型或未知攻擊:1. 隨機數方案建議採用 EOS 官方推薦的隨機數安全實踐“Randomization in Contracts”;2. 合約加上完備的風控機制,比如超過某些關鍵閾值自動暫停;3. 對合約鏈上所有資料進行採集與建模,透過場景學習構建最合適的異常告警通知機制。慢霧安全團隊也在持續打磨針對 EOS DApp 威脅發現與威脅防禦一套完整的 SaaS 服務,覆蓋 DevSecOps 三大技術環節,既有針對開發人員的 EOS 智慧合約最佳安全開發指南,也有針對運維人員的 EOS 天眼及 FireWall.X,整合形成鏈上鍊下安全治理一體化的聯合防禦體系,真正做到“威脅看得見,威脅防得住”。EOS DApp 還處於 EOS 生態的相對早期的快速發展階段,攻擊者們早已將各種攻擊手法自動化,這對所有 DApp 來說都是一個持續性挑戰,安全是專案的底線,風控是安全的底線,希望更多力量參與進來,來自社羣,迴歸社羣,共同促進 EOS 生態的安全發展。#EOS#DApp#區塊鏈遊戲
免責聲明:
- 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
- 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
- 鏈報僅提供相關項目信息,不構成任何投資建議。
推荐阅读
;