12月05日,新上線的又一款EOS競猜類游戲Fastwin遭到黑客攻擊,區塊鏈安全公司PeckShield態勢感知平臺捕捉到了該攻擊行為并率先進行了安全播報披露。數據顯示,當天凌晨03:18—04:15之間,黑客向Fastwin游戲合約發起124次攻擊,共計獲利1,929.17個EOS。PeckShield安全人員分析發現,該攻擊行為是黑客利用Fastwin的合約在校驗合約調用方時存在的漏洞,導致「內聯反射」攻擊成功。
據研究,截止11月底,已經發生了超27起EOSDApp安全事件,主要集中在假EOS攻擊、隨機數問題等攻擊方式,且在不斷升級演變。而這次看似較小的攻擊事件背后卻暴露出了一個較以往危害性可能更大的新型漏洞:EOSIO官方系統對調用合約自身函數存在不校驗權限的問題。
動態 | EOS競猜類游戲LuckyClover和UnicornBet遭黑客攻擊 已緊急關停:今日凌晨,PeckShield安全盾風控平臺DAppShield監測到多名黑客向EOS競猜類游戲LuckyClover和UnicornBet發起連續攻擊,獲利數千個EOS。在監控到多個游戲被攻擊后,PeckShield第一時間聯系項目方實施應急響應風控機制,避免了開發者遭受更大的數字資產損失。PeckShield安全人員分析發現,黑客分別采用的是hard_fail和假EOS攻擊手段。PeckShield安全人員在此提醒,開發者務必合約上線前做好安全測試,特別是要排除已知攻擊手段的威脅,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/8/2]
圖一,PeckShield與Block.one郵件溝通
聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]
PeckShield認為這是一個非常嚴重的漏洞,并第一時間通知了Block.one團隊。Block.one官方團隊接受了該漏洞提議,并告知我們有其他研究團隊也事先獨立匯報了該漏洞,最終于周四更新了緊急補丁以補救防御,同時次日新發布1.5.1和1.4.5兩個版本,完成了該漏洞修復,避免了更多攻擊事件的發生及可能造成的資產損失。
動態 | 競猜類游戲GAMBLR存在假通知安全問題:今天下午6:41,PeckShield安全盾風控平臺DAppShield監測到EOS競猜類游戲GAMBLR存在假通知安全威脅,一旦遭攻擊黑客可零成本獲取GAMBLR代幣,將極大地破壞原有游戲生態平衡。PeckShield安全人員第一時間和項目方取得聯系,并及時幫助項目方排除了安全隱患。PeckShield安全人員分析認為,新上線部署的游戲合約存在安全問題的可能性較大,開發者應在合約上線前做好安全測試,避免因攻擊事件造成資產損失,必要時可尋求第三方安全公司協助,幫助其完成合約上線前攻擊測試及基礎安全防御部署。[2019/1/8]
「內聯反射(inlineReflex)」攻擊原理
正常的轉賬流程如圖所示:玩家通過調用系統合約(eosio.token),將EOS轉賬給游戲合約,觸發游戲合約的分發邏輯(apply),進而調用相關函數實現開獎。
圖二,競猜游戲正常轉賬流程
而此次的攻擊者(ha4tsojigyge),在自己帳號部署的合約中包含了與游戲合約相同的操作函數,在轉賬完成后,自行開獎獲得獎金。如圖所示:
圖三,攻擊者內聯調用自身合約開獎
從圖中可以看出,攻擊者在自身合約的函數中,內聯調用了與游戲合約開獎同名的函數,再通過通知的方式將信息發送到了游戲合約。此時游戲合約的分發邏輯沒有過濾掉此信息,并調用了開獎函數。
總之,攻擊者利用了EOSIO系統中對調用合約自身函數不校驗權限的漏洞,進而使用游戲合約的帳號權限發起內聯調用,致使繞過游戲合約在敏感函數中校驗調用者權限的方法,從而獲取了游戲合約發放的獎勵。
修復方法
從上述分析能夠發現,攻擊者合約的通知信息中,實際調用的合約是攻擊者合約,而非游戲合約,因此在游戲合約的分發邏輯中過濾掉此類信息即可。而且從系統定義的宏中能夠看到,分發邏輯處理了此問題。因此PeckShield在此提醒開發者在定制化自己的分發邏輯時,需要特別注意其中的調用來源。
圖四,系統EOSIO_DISPATCH代碼
深層次及兼容性問題
需要強調的是:這個問題屬于EOS公鏈層的較大漏洞,攻擊者在內聯調用中可以偽造任意帳號的權限執行,但這個修復可能會給部分開發者造成兼容性問題,如合約內聯調用函數,而執行者帳號不是自己的時候,會導致整個交易執行失敗,如需解決兼容性問題請給合約賦予執行者帳號的eosio.code權限。
本文來源于非小號媒體平臺:
PeckShield
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627092.html
游戲鏈游
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
區塊鏈如何助力數據共享隱私保護?
火星財經APP一線報道,據CoinDesk消息,5月20日香港高等法院一份文件顯示,幣安CEO趙長鵬已通過其律師向法院遞交申請,起訴紅杉資本損害其名譽,阻止幣安以高估值籌集資金.
1900/1/1 0:00:00本文觀點僅代表個人,僅限交流學習,所有內容不構成任何投資建議。想及時了解更多行情信息,請添加官方微信進群:jiamibaoluo.
1900/1/1 0:00:00GalaxyCapitalCEO,Fortress投資集團前對沖基金經理Novogratz最近發表了一個觀點,他認為,在下輪牛市中,比特幣將跑贏絕大多數主流幣和山寨幣.
1900/1/1 0:00:00據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間5月26日8時報699.31點,較昨日同期上漲5.26點,漲幅為0.76%.
1900/1/1 0:00:005月26日,英國數字資產交易所AOFEX正式發布了亞洲版網頁和APP,這也意味著AOFEX正式進入亞洲市場.
1900/1/1 0:00:00BW.com2000BTC糖果獎池每天登陸每天領走過最深的路就是幣圈的各種套路 這回絕對沒套路 宇宙最壕交易所兒童節福利來了狂撒2000BTC注冊就送,邀請還送BW.io今日上線HP/USDT.
1900/1/1 0:00:00