APP:復盤數十萬 EOS 被盜過程，背后是其架構設計缺陷？

北京時間2018年12月19日凌晨，EOS網絡中，包括BetDice在內的數個游戲DApp遭受黑客攻擊，損失數十萬枚EOS通證。

TokenInsight認為本次事件是由于部分游戲DApp為增強游戲體驗，在自建節點中運行DApp，導致鏈上數據同步時出現錯誤。

因為部分代碼和數據未被公開，攻擊的重現難度較高。據推演，黑客可能的攻擊手段如下：

EOS被盜流程推演圖

來源：TokenInsight

主力數據復盤：火幣ETH主力在下跌過程中買入超過2600萬美元:AlCoin PRO版K線主力大單統計顯示：8月15日10:00-8月16日20:15，ETH從442美元跌至最低412美元。這一過程中，火幣ETH/USDT出現并成交了大量委托買單。

其中，成交了70筆，總價值超過2600萬美元的大額委托買單(單筆委托金額20萬美元以上)，買入均價426美元。[2020/8/17]

1、黑客向DApp發送參與游戲的請求；

2、黑客直接向BP節點發送取消游戲的請求，或使賬戶余額不足而導致轉賬失敗；

BitMax交易員hedeng：形成自己的交易策略一定要復盤:6月5日，BitMax金牌帶單員、諧波交易藝術家hedeng做客BitMax合約大咖說第2期，主題為《如何用諧波交易策略月賺13萬USDT》。

hedeng表示，構建自己的交易策略一定要復盤，記錄開單原因，止盈止損，不要報復性開單，最重要的是要靠實盤磨練。對于今年下半年的行情hedeng認為，從技術分析角度來看BTC可以漲到3萬。[2020/6/5]

3、DApp將黑客的游戲請求發送至BP節點，并在自建節點上運行黑客的游戲結果，若運算出玩家勝利的結果，則向BP節點發送給予玩家獎勵的請求；

主力數據復盤：幣安現貨主力3142.71枚BTC砸盤引發瀑布:AICoin PRO版K線主力成交數據顯示：通過秒級周期數據對比，昨晚的劇烈下跌或由幣安現貨主力砸盤引起。 22:46:21，幣安BTC/USDT以10055.01美元市價賣出709.82枚BTC，最終被買價格10000美元，賣出滑點95.01美元，價格直接跌至9905美元。

3秒后，繼續以9969美元市價賣出361.96枚BTC，最終被買價格9905.99，賣出滑點73.44美元，價格跌至9871美元。 隨后繼續有大額市價賣單成交，3分鐘內累計主動賣出41筆，共計3142.71枚BTC。

可見，幣安現貨主力的大量市價賣出或引起了此輪瀑布。[2020/6/3]

4、BP節點先后收到「黑客取消游戲」請求、「DApp發送游戲」請求、「DApp給予游戲獎勵」請求。因為時間順序和轉賬沖突的原因，「黑客取消游戲」請求被執行，而「DApp發送游戲」請求執行失敗，「DApp給予游戲獎勵」請求被執行。

5、黑客收到DApp的轉賬，一次攻擊完成。

首先，應對該種攻擊手段，可將DApp讀取的狀態數據改為read-only模式，read-only模式下數據庫包含傳入區塊的更改，但不影響speculative交易處理。

此外，關于此次EOS的安全事件，AnChainCEOVictor指出，AnChain在Ethereum以及EOS有關安全的問題上有著較豐富的經驗與技術積累，并且也提供有關代碼的安全檢測服務，這次的安全事件是完全可以避免的。比如，DApp可以使用ref_block功能，在給玩家發放獎勵前，判斷用戶是否真的轉賬成功。同時，Victor還指出，這個安全問題背后還暴露出了在EOS中更加嚴重的問題，相較于其他部分公有鏈，EOS區塊鏈并不記錄失敗的交易，瀏覽器也無法查詢，這是EOS在架構設計方面的缺陷。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

TokenInsight

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627096.html

EOS柚子

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

慢霧：破解造成BetDice項目恐慌的交易回滾攻擊手法

下一篇：

知道創宇攜手中信云合作案例獲評「2018企業服務案例TOP50」

Tags：APPDAPDAPPEOSZapp CoinblockchainresearchandapplicationDAPPX價格LEOS幣

比特幣交易