DAPP:DAPP中獎率如何提高？黑客用了這種方法

1月16日，據慢霧、PeckShield等安全公司披露，近期針對EOSDApp遭遇“交易排擠攻擊”的持續性威脅情報監測：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名DApp陸續被攻破，該攻擊團伙的攻擊行為還在持續。“交易排擠攻擊”是一種新型攻擊手法，攻擊者首先發起正常的轉賬交易，然后使用另一個合約帳號檢測中獎行為。如果不中獎，則發起大量的defer交易，將項目方的開獎交易“擠”到下一個區塊中，此次攻擊源于項目方的隨機數算法使用了時間種子，使攻擊者提升了中獎幾率，導致攻擊成功。關于為何EOS競猜類游戲很難免疫這種新型攻擊手法時，PeckShield硅谷研發中心負責人Jeff表示：“所有競猜類游戲基本都包含隨機數的游戲機制，但本質上隨機數和區塊鏈網絡要求所有分布式節點運算結果保持一致存在內在矛盾。現有隨機數解決方案都采用的是鏈上數據，一定程度上可以實現偽隨機，但黑客可以搶先算出結果進而實現攻擊。”在這種攻擊中，我們首先要提到隨機數生成方式。DVP區塊鏈安全研究人員表示，隨機數對于區塊鏈技術來說非常關鍵，生成任何人不可知的真隨機數是目前區塊鏈生態存在的一個很難解決的問題，所以目前EOS競猜類DApp都是通過各種各樣的種子生成偽隨機數。在偽隨機數里，一旦黑客知道了生成隨機數的方案和取的種子，就有可能預測到結果，形成隨機數預測攻擊。偽隨機數生成方案分為鏈上和鏈下隨機種子隨機數生成方案兩種。據了解，鏈上隨機數種子生成方案即將區塊數據或區塊時間等鏈上數據作為種子，這種方案由于不需要用戶提供種子，更方便，對用戶門檻較低，因此即使有安全風險，也成為是目前EOS生態內最普遍方案。而EOS官方推薦的鏈下隨機種子隨機數生成方案，指的是種子來源于雙方用戶，不依賴于物理或鏈上數據，技術上更為安全，但對用戶不夠友好。另外有些競猜類DApp使用鏈外數據，即非鏈上數據，但也不來自用戶。這種方法雖然解決了用戶門檻和隨機數攻擊問題，但由于鏈外數據可能是公司用服務器生成的隨機數，有黑箱操作的風險，有失公平。區別于此前用到的隨機數預測攻擊，即通過破解隨機算法和隨機種子、黑隨機數的方法進行攻擊，EOSDAPP最近正遭受的“交易排擠攻擊”則是利用EOS底層的問題來攻擊的手法。據慢霧安全團隊介紹，通過延時交易攻擊者可以變相影響隨機數進行攻擊。DVP區塊鏈安全研究人員解釋說，一般的交易發送與執行過程是用戶通過cleos客戶端或其他方式將交易請求發送給API節點，在API節點處理后，最終到達超級節點進行打包出塊。問題在于，EOS公鏈允許正在執行的交易里發送延遲交易，從而繞過API節點的驗證，直接加入超級節點待執行隊列，同時會將這些交易信息同步給其他超級節點。因此，攻擊者可以先下注，然后通過部署合約運算，進而從API節點中得到結果，如果沒中獎，就發送延時交易，直到中獎為止。Jeff表示該攻擊是指攻擊者算出了隨機數結果對其不利，所以采取阻塞攻擊讓EOS網出的塊里只包含垃圾交易，沒有合法交易，進而進行隨機數預測攻擊。其本質是區塊鏈目前的隨機數機制產生的結果可以被猜出，進而被攻擊。關于攻擊的解決方案，DVP、慢霧和PeckShield都提到應采用官方推薦的鏈下隨機種子隨機數生成方案、采用完備的風控機制。慢霧還提到可以通過場景學習構建最合適的異常告警通知機制。據dappradar.com統計，EOSDApp中競猜類占比62%。所有的競猜類DAPP都用到隨機數，所以防范攻擊非常重要。據DVP區塊鏈安全研究人員，除競猜類DApp之外，該攻擊甚至還可以直接讓EOS主網癱瘓，但目前EOS主網已經修復該問題，DAPP仍沒有。我是Odaily星球日報記者遂心，加好友煩請備注姓名、單位、職務和事由。

Coinbase Wallet 新增惡意 DApp 訪問警告功能:金色財經消息，Coinbase Wallet 宣布新增惡意 DApp 訪問警告功能，用戶在訪問惡意 DApp 時會收到警告提醒。該惡意 DApp 數據庫結合了開源數據、安全專家的研究和 Coinbase Wallet 用戶的報告，會不斷維護。[2022/9/2 13:04:58]

DappRadar將于Oasis合作開啟孵化器計劃:金色財經報道，據DappRadar推特消息，DappRadar聯合OasisProtocol開啟孵化器計劃，DappRadar聯合Oasis加速器計劃的任務是從DappRadar開發者社區尋找優質團隊，并支持他們在Oasis網絡，特別是在Oasis Emerald或Cipher ParaTimes上進行建設，關注領域將在DeFi、P2E游戲和隱私解決方案。在該項目中，將為這些團隊提供支持，以確保成功的整合、社區參與和籌款。

被選中的團隊每人將獲得高達 5 萬美元的 ROSE 贈款，這是 Oasis 網絡的原生代幣，并有機會在 Oasis 基金會和 DappRadar 的直接支持下啟動他們的項目。[2022/2/23 10:11:03]

聲音 | IMEOS.ONE創始人：單個DApp沒有多少真實用戶 建議不要上挖礦模式:IMEOS.ONE創始人茶貓在接受采訪時對DApp整體數據下降情況作出了分析，他認為DApp被礦工機制弄慘了，早期能夠快速賺錢的礦工機制，其實也坑死了后期的項目方，很多項目方的錢都被礦工和CPU擼走了，其實沒有多少真實用戶。但是他也表示，DApp還是要堅持的，但在用戶增長上，不能按過去的幣圈思路，要多找點增量用戶。建議不要上挖礦模式，慢慢運營賺現金流。（嗶嗶News）[2019/2/21]

Tags：DAPPDAPAPPEOSdapp幣在哪個交易所DAPCimtokenAPP下載不了FarmEOS

XMR