EOS:席卷EOS游戲超500萬元的黑客攻擊，究竟是怎么一回兒事？

12月18日晚間至19日凌晨，多個EOS頭部DAPP遭受攻擊。EOSMax、ToBet、BigGame和BetDice遭受交易回滾攻擊，分別損失55000EOS、22000EOS、14903.18EOS、200000EOS。此外，黑客利用重放攻擊漏洞向競猜類游戲TRUSTBET發起攻擊，獲利11501EOS。幾款游戲共損失303404.18EOS，以EOS單價18元來估算，合計約546萬元。遭受攻擊的幾款游戲基本為EOS頭部較活躍的競猜類游戲。據PeckShield報道，其中的競猜類游戲BetDice近一周日均活躍度超5,000人，交易額也在5,000萬EOS以上。PeckShield創始人蔣旭憲表示，這次攻擊背后是同一個團伙或個人。攻擊BetDice的賬號hnihpyadbunv創建了賬號eykkxszdrnnc，用來攻擊EOSMax與BigGame。賬號eykkxszdrnnc又創建了子賬號kfexzmckuhat用來攻擊ToBet。攻擊成功后，再頻繁創建子賬戶轉移所得資產。對于這次攻擊，蔣旭憲向Odaily星球日報表示，ECAF追回盜取的EOS預計難度比較大，目前已經牽涉到1808個賬戶，數量還在增長中。這次攻擊究竟是怎么回事兒？

北京：加快北京人工智能公共算力中心、北京數字經濟算力中心等項目建設:金色財經報道，5月30日，北京市政府辦公廳正式發布《北京市促進通用人工智能創新發展的若干措施》。其中提出，提升算力資源統籌供給能力。實施算力伙伴計劃，與云廠商加強合作，提供多元化優質普惠算力。加快北京人工智能公共算力中心、北京數字經濟算力中心等項目建設，形成規模化先進算力供給能力。實現異構算力環境統一管理、統一運營，提高環京地區算力一體化調度能力。[2023/5/30 11:48:20]

PeckShield安全人員認為，EOSMax、ToBet、BigGame和BetDice這四款競猜類游戲被攻擊事件，均和EOSNode存在漏洞有關。持有同樣看法的還有EOSMAX，據IMEOS.ONE報道，EOSMAX發布公告，稱是由于EOSNode存在漏洞導致，并非游戲合約存在漏洞。據業內不具名人士向Odaily星球日報透露，這次交易回滾攻擊與項目方的nodeos開啟了speculativemode有關，開發者需要關閉該mode來避免攻擊。對于這次交易回滾攻擊的具體過程，MEET.ONE的負責人Goh向Odaily星球日報表示，認為此次攻擊過程如下：1.黑客通過攻擊合約賬戶A向游戲合約B轉賬下注，游戲合約實時開獎，給賬戶A發放獎勵。2.游戲合約B使用的節點開始往EOS網絡同步這筆交易C。3.攻擊合約賬戶A執行assert，超級節點未打包交易C，所有節點回滾交易C。4.黑客獲得交易C的數據，如果下注勝利，正常執行交易C，如果失敗開始下一次攻擊。幣乎的“胖哥”分享了佳能和MYKEY技術團隊對本次回滾攻擊調查方式推演的一個推斷：攻擊方式是抓住了DAPP節點讀寫沒有分離的漏洞，黑客直接運用DAPP讀的節點去發送交易，那么該節點會最早執行合約邏輯計算DICE結果，如果黑客贏那就不做任何操作，等該節點廣播同步到塊節點就贏了。如果黑客輸了，黑客同時發送一筆轉賬操作到目前正出塊主節點，讓賬號余額不足以完成先前的那筆交易，那么先前的那筆交易就會被廢棄，那么黑客就不會輸了。綜上運用的方式還是傳統的方式：雙花！DAPP應該自查一下是否講讀寫分離以及讀節點設置成read-only。目前，據IMEOS.ONE報道，此前因遭受交易回滾攻擊而暫停運營的EOSMax，經過團隊調查、與BP商討解決方案，已經成功修復問題，目前已恢復服務。團隊將采用讀寫分離的方式來修復該問題，讀取采用read-only的節點，寫入采用另一個節點以規避回滾交易漏洞。此外，對于TRUSTBET遭受的重放攻擊漏洞，PeckShield安全人員認為這是一種最早出現于EOSDApp生態初期的攻擊形態，由于開發者設計的開獎隨機算法存在嚴重缺陷，使得攻擊者可利用合約漏洞重復開獎，是一種較低級的錯誤。業內人士怎么看？

Matrixport報告：美國機構占比特幣購買量的85%:1月28日消息，Matrixport的最新報告援引比特幣今年上漲了40% ，其中35%的回報發生在美國交易時段，這意味著“85%的貢獻”與美國投資者相關，表明美國機構目前是比特幣的買家。該報告的結論是，隨著機構采用的繼續，這“對比特幣來說應該是一個非常積極的信號”。

Matrixport的研究和戰略主管Markus Thielen表示，數據表明，機構沒有“放棄加密貨幣”，這是一個跡象，表明我們可能正在進入一個新的“加密貨幣牛市”。Thielen補充說，之前的數據顯示，機構通常在投資其他加密貨幣之前首先開始購買比特幣。（Cointelegraph）[2023/1/28 11:34:04]

對于這次攻擊，MEET.ONE的負責人Goh向Odaily星球日報表示，這已經不是EOS第一次被攻擊了，甚至攻擊的手法和發現的漏洞都不算有技術難度。只能說EOS生態發展地非常快，但項目的研發能力和安全能力相對滯后。對于EOS上的項目而言，生產環境就是最好的測試環境，不斷地遇到問題后需要不斷地迭代。”純白矩陣創始人吳嘯向Odaily星球日報表示，EOS的愿景是不錯的，但是需要更加穩定可能才更適合開發者。目前EOS的機制設計方面存在隱患，比如可以替換合約，對開發者的權限限制不足。此外，EOS還存在BP的反映時間長等問題。不過，最近EOS發布側鏈，BM又推出wasm解釋器、掃碼登錄PC端的Dapp，在安全方面會有所提升，會對EOS持續關注。對于這次攻擊，還有人從EOS生態的角度給出了觀點。DappReviewCEO牛鳳軒向Odaily星球日報表示，這是一起非常大的安全事故，但是從今天早上開始看到，節點和多個發生被攻擊的游戲項目方開始合作，研究如何解決問題。而且，BetDice還友好地提醒了自己的競爭對手。這些良性的行為對于EOS的生態建設很有幫助。我是Odaily星球日報的齊明，探索真實區塊鏈，日常喜歡和各路大神聊天。項目交流、爆料請加微信qingmoruoshui，煩請備注姓名、公司、職務。轉載/內容合作/報道聯系report@odaily.com；違規轉載法律必究。

幣安發言人：用戶資金是1:1支持，將盡快發布更多代幣的儲備情況:12月14日消息，在回答有關近期資金外流的問題以及對透明度的擔憂時，一位幣安發言人通過電子郵件向彭博社表示：“人們每天都會出于各種不同的原因存入和取出資產。Binance 的用戶資產都是 1:1 支持的，Binance 的資本結構是無債務的。我們保持熱錢包余額，以確保我們始終有足夠的資金來滿足取款請求，我們會相應地充值熱錢包余額。我們正在與 Mazars 合作，與他們共享所有相關財務信息，以便他們能夠驗證我們共享的所有數據的準確性以及我們提取數據的過程。我們正在努力盡快發布更多代幣的更新儲備情況。”[2022/12/14 21:43:35]

Coinbase Wallet已集成區塊瀏覽器Etherscan:8月16日消息，據官方推特，Coinbase Wallet已集成區塊瀏覽器Etherscan，支持用戶訪問區塊鏈數據、搜索與API服務。[2022/8/16 12:27:57]

Tags：EOSBETILYODAEOS Se7ensBETR價格FamilyPartyODA幣

以太坊最新價格