平均每两天1起的安全事件 EOS DApp 还能好吗?

浪花财经浪花财经 专栏 2019年1月24日
1.41W 0
快讯:“黑客攻击了 XX 游戏。”众人:“挖槽,好多 EOS ,心疼项目方。”几个月后…………

平均每两天1起的安全事件 EOS DApp 还能好吗?

快讯:“黑客攻击了 XX 游戏。”

众人:“挖槽,好多 EOS ,心疼项目方。”

几个月后…………

快讯:“黑客又双叒叕攻击攻击了XX 游戏。”

众人:“哦。(见怪不怪脸)”

平均每两天1起的安全事件 EOS DApp 还能好吗?

平均每两天1起的安全事件 EOS DApp 还能好吗?

一、平均每两天1起的安全事件,

这两个月黑客都干了些什么?

如果用几个词来概括这两个月发生的主要事件,那么「黑客攻击」绝对占有一席之地,要知道仅是在2018年12月至2019年1月下旬,就发生了36起黑客事件,按照这样次数来算的话平均每两天便有1起的安全事件发生,这样的概率项目方看着怕是瑟瑟发抖。??

新旧韭菜交替、批量菠菜游戏来了又去,黑客伴随始终。从2018年7月至今,已知所披露的事件里,一共发生了63起,看下面的长长长长长长图随意感受下劳模黑客都干了些什么。

平均每两天1起的安全事件 EOS DApp 还能好吗?

▲By IMEOS 整理

拿起计算机噼噼啪啪算起来,不包含未知、不确切的 EOS 损失 ,以上事件共损失 538166.52 个 EOS ,以目前惨兮兮的市场价 ¥18 来算,就有969万,加上未知和不确切的31起事件,预估项目方损失上千万已是手下留情。

二、套路更多,也越成体系的盗币手段

除了安全事件发生越来越频繁之外,黑客的套路也越来越多,越成体系,据 PeckShield 联合PANews出的报告中统计发现,几乎平均每15天就会出现一种新的攻击手法。

比较典型的是在12月19日凌晨,有一批黑客向四款 EOS 头部竞猜类游戏下了手,损失超500万元。黑客为逃离 ECAF 追踪和避免被冻结,创建了 2,190个子账号销赃。可以说,现在攻击者走在防守者的前面,项目方置于被动挨打的地步。

我们来看发生的主要几种攻击手段:

  • 随机数

出现过最多的安全问题,一共发生了14次。黑客根据破解出来的随机数成功计算出开奖结果。

而之所以如此频繁地发生随机数问题, PeckShield 认为主要原因是“目前与钱最近的就是菠菜类DApp,而菠菜游戏的核心就是随机数算法,因此只要破解或控制随机数的生成,就能获得巨大收益。”

而如何避免随机数被黑客攻击, PeckShield 也给出了他们的意见:“链上没有真正的随机数,只能尽量通过不可预测的伪随机来实现,同时遵照官方的建议,结合链下生成随机数,同时排除已知针对随机数的各种攻击手段的威胁。”

  • 交易回滚

简单而言就是如果黑客中奖了,他就会让结果生效,如果发现并未中奖,就采用中断攻击,整个交易回滚,直到中奖为止。

  • 溢出攻击

由于EOS系统底层asset类代码存在缺陷,这个缺陷导致极小的金额可以通过相乘放大无数倍,变成极大的金额。

  • 假转账通知和假 EOS 攻击

主要来源于开发者校验的不严谨导致的黑客有机可乘。

  • 交易阻塞攻击(CVE-2019-6199) 

近期发生了几起事件都是「交易阻塞攻击」又称「交易排挤攻击」,不同于以往随机数和交易回滚合约层的问题,交易阻塞攻击属于公链底层的漏洞。目前EOS竞猜类游戏随机数算法中只要包含账号余额或时间因素就存在被攻击可能。

  • 拒绝服务攻击

  • 重放攻击

  • …………

针对黑客不断变种的攻击,区块链安全公司慢雾安全团队和PeckShield都为开发者准备了相应的安全开发指南,均已开源在GitHub上,建议开发者们研究学习下:

慢雾科技:《 EOS 智能合约最佳安全开发指南》 :https://github.com/slowmist/eos-smart-contract-security-best-practices

PeckShield:《EOS智能合约安全编码规范——快速参考指南》:https://github.com/peckshield/EOS/tree/master/eos-tutorials

三、什么时候,项目方能够走在黑客的前面?

从 EOS 主网启动至今, DApp 与黑客成正比例增长  ,对于黑客事件我们也经历了从大吃一惊到见怪不怪的态度转变,但「黑客攻击」从来都不该成为我们司空见惯的事件。对于还年轻的区块链而言,「安全」是项目方和用户永远都无法绕过的话题,也没有人能够置身其外。

如今区块链正处于初期,鱼龙混杂,常有安全事件发生,非常感谢有慢雾安全团队和 PeckShield 监控 EOS 上发生的安全事件,作为区块链安全生态的守护者为 EOS 的稳定运行做贡献。

慢雾安全团队

专注于区块链生态安全,是由一支拥有十多年一线网络安全攻防实战的团队创建,团队成员多项成果也曾进入过Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、安全顾问、防御部署、威胁情报等。

PeckShield

汇聚全球顶尖的安全专家,连接区块链产业和学术前沿,为区块链生态提供全方位的安全解决方案。PeckShield 为区块链行业提供专业的安全服务,帮助合作伙伴规避安全风险。作为独立公正的安全团队,提供权威的安全评级和认证报告。

如何更好地保障自身的资产安全,IMEOS 采访了两家知名的安全团队就相关问题进行解答。(小本本拿起来记重点?)

关于一些 EOS 现象?

1.为什么经常会看到一个很早之前的漏洞有不少游戏也会中招,还有一些游戏甚至刚上线就被黑客盯上?

PeckShield:新游戏还在不断涌现,仅12月就有68款新游戏上线,对于新入场的游戏开发者来说,由于开发环境、语言不熟悉,项目进度等诸多原因,虽然EOS上的安全事件频发,但还没有真正重视攻击的危害性,反观黑客随着攻击技术逐渐成熟,黑客已经开始有自己的一整套扫描方法,发现新上线的游戏,即可用已知漏洞尝试对新游戏进行攻击。甚至游戏合约部署当天即被攻击者攻击。

慢雾安全团队:由于EOS生态的高热度,很多项目方跟风进入DApp领域,在开发和上线时没有特别关注安全问题,并且开发者在EOS智能合约开发方面也没有太多经验,导致合约存在很多已知的漏洞。为此我们也整理了一份最佳安全开发指南(链接见上方),推荐EOS智能合约开发者们都看一看。

2.为什么EOS的DApp上经常有黑客光顾,在其他的公链上这类的安全事件就很少?

PeckShield:目前EOS上的DApp是所有公链中最活跃的  EOS上以菠菜游戏为主,而菠菜类游戏也更易遭受攻击。 以太坊上如fomo3d也都遭受过攻击,发币合约也频频爆出漏洞,安全形势并不比eos dapp好,只是目前熊市下 以太坊大量的代币价值已经非常低,而相比之下近期上涨势头迅猛的DApp对黑客更有吸引力。

慢雾安全团队:EOS生态还比较早期,并且有很多吸引DApp项目方的优势,所以很多DApp在选择公链的时候会优先EOS。自然而然的,大量资产就流动到了EOS,这也就吸引攻击者去研究EOS底层及其智能合约,因为生态里的开发者水平参差不齐,导致了攻击事件频发。

关于安全团队都做了些什么?

慢雾安全团队

1、EOS智能合约防火墙FireWall.X是通过什么方式来保护DApp的项目方?

EOS智能合约防火墙FireWall.X是采用预言机技术,结合慢雾科技区块链威胁情报系统(BTI)的数据,判断玩家是否是恶意用户,如果是的话就阻断玩家的下注,如果不是就正常进行。同时,当发生未知的新型攻击时,项目方可以在控制台一键暂停合约,及时止损。

2、EOS天眼的灰匣子和开源合约的区别在哪里?

EOS天眼的灰匣子可以让DApp项目方自己设置要开源的那部分代码,而不是全部开源。这样可以避免代码全开源后被抄袭,同时兼顾了给用户的信任感。

PeckShield

1、PeckShield 是如何做到第一时间掌握项目攻击,甚至比游戏项目方更早获知?

 我们一直持续搭建并维护多条主流公链的态势感知系统,对EOS全网也是做了全网数据监控,基于团队在互联网上的扎实的数据分析背景经验,我们可以做到及时有效的从多维度对攻击者行为进行分析和判断,做到及时有效的预警,甚至有的多起攻击事件中,攻击者攻击刚开始进行时,就已被态势感知系统发现。

2、PeckShield 的 DAppShield 安全盾是如何做到帮助项目方预防黑客攻击的?

DApp安全盾(DAppShield) 作为一款EOS  UTM(Unified Threat Management 统一威胁管理),可以把它理解为是一套安全防护SDK,可以让开发者方便快速的集成到智能合约代码中,开发者可以自行通过DAppShield 安全等级自行处理业务逻辑,同时也提供当遇到新型攻击时可以让开发者设置一键合约熔断功能,及时止损。

关于项目方如何防范?

1.我们发现,黑客的攻击手段越来越复杂,也越来越成体系,项目方应该如何防范?

PeckShield:拥有基本的风控能力,如大额投注开奖的控制等。  排除已知攻击手段的威胁,寻求与安全公司合作,进行安全审计,规范化管理,并搭建完整的风控系统。

慢雾安全团队:攻击与防御始终是对抗升级的,作为DApp项目方,我们建议一定要注意风控,发现异常及时止损。因为EOS生态还比较早期,很多未知的攻击手法不断被发现,地下黑客也一直在盯着各种DApp,项目方之间也要保持威胁情报的互通,避免共性问题被批量“撸”。

2.近期EOS DApp 遭遇的“交易排挤攻击”不少游戏都被陆续攻破,像这类EOS主网的缺陷,游戏方应该如何做好防范?

慢雾安全团队:DApp项目方在应对这类底层的缺陷时,首先要做好风控,快速判断自己是否会受到影响,如果有影响可考虑暂停游戏,如果不受影响也应该做好风控限制,避免全部奖池都在热钱包内。然后从技术层面了解缺陷的根源,分析自己的DApp该如何规避此类问题,待修复完成后再重新上线。

关于用户如何保障资产安全?

1.对于普通用户来说,有哪些是非常重要但是容易忽视的安全问题,黑客主要是通过哪些途径来盗取私钥的?

慢雾安全团队:在数字货币世界,掌握私钥即证明身份,也代表掌握了资产,所以私钥的保管尤为重要。很多人用网盘、邮箱甚至微信来备份私钥(助记词、KeyStore等),因为地下黑客会利用其它地方泄露的账号密码去尝试登陆用户的网盘、邮箱等网站,然后寻找里面有价值的数据。如果刚好你用来备份的网盘、邮箱是和别的网站的账户密码相同,并且很不幸的别的网站的数据库被黑客获取了,这样你的资产就面临很大的风险。

我们建议采用离线的形式备份私钥(助记词、KeyStore等),同时保存多份副本,避免单一被损坏或遗失带来资产损失。

PeckShield:私钥是区块链世界所拥有数字货币资产的证明,其重要性不言而喻。私钥的安全性可以从三方面来讲,首先是生成私钥的安全性,生成私钥的网站和工具是否可信和安全,如EOS主网启动早期,出现了弱助记词生成私钥的工具,导致大量私钥被破解,我们也提供了EOSRescuer服务,帮助用户检测这一问题;其次是私钥的保存,理论上联网的介质如电脑、手机都有可能导致私钥的泄漏,离线的形式如硬件钱包等方式安全性更高;最后是避免主动泄漏私钥,如不随意在不知名的钱包或工具中导入私钥,同时对于登陆的网站等要做好甄别,防范钓鱼网站盗取私钥。

生成图片
4
eos(348)区块链(9086)

相关文章

发表评论

平均每两天1起的安全事件 EOS DApp 还能好吗?

星期四 2019-01-24 23:12:01

平均每两天1起的安全事件 EOS DApp 还能好吗?

快讯:“黑客攻击了 XX 游戏。”

众人:“挖槽,好多 EOS ,心疼项目方。”

几个月后…………

快讯:“黑客又双叒叕攻击攻击了XX 游戏。”

众人:“哦。(见怪不怪脸)”

平均每两天1起的安全事件 EOS DApp 还能好吗?

平均每两天1起的安全事件 EOS DApp 还能好吗?

一、平均每两天1起的安全事件,

这两个月黑客都干了些什么?

如果用几个词来概括这两个月发生的主要事件,那么「黑客攻击」绝对占有一席之地,要知道仅是在2018年12月至2019年1月下旬,就发生了36起黑客事件,按照这样次数来算的话平均每两天便有1起的安全事件发生,这样的概率项目方看着怕是瑟瑟发抖。??

新旧韭菜交替、批量菠菜游戏来了又去,黑客伴随始终。从2018年7月至今,已知所披露的事件里,一共发生了63起,看下面的长长长长长长图随意感受下劳模黑客都干了些什么。

平均每两天1起的安全事件 EOS DApp 还能好吗?

▲By IMEOS 整理

拿起计算机噼噼啪啪算起来,不包含未知、不确切的 EOS 损失 ,以上事件共损失 538166.52 个 EOS ,以目前惨兮兮的市场价 ¥18 来算,就有969万,加上未知和不确切的31起事件,预估项目方损失上千万已是手下留情。

二、套路更多,也越成体系的盗币手段

除了安全事件发生越来越频繁之外,黑客的套路也越来越多,越成体系,据 PeckShield 联合PANews出的报告中统计发现,几乎平均每15天就会出现一种新的攻击手法。

比较典型的是在12月19日凌晨,有一批黑客向四款 EOS 头部竞猜类游戏下了手,损失超500万元。黑客为逃离 ECAF 追踪和避免被冻结,创建了 2,190个子账号销赃。可以说,现在攻击者走在防守者的前面,项目方置于被动挨打的地步。

我们来看发生的主要几种攻击手段:

  • 随机数

出现过最多的安全问题,一共发生了14次。黑客根据破解出来的随机数成功计算出开奖结果。

而之所以如此频繁地发生随机数问题, PeckShield 认为主要原因是“目前与钱最近的就是菠菜类DApp,而菠菜游戏的核心就是随机数算法,因此只要破解或控制随机数的生成,就能获得巨大收益。”

而如何避免随机数被黑客攻击, PeckShield 也给出了他们的意见:“链上没有真正的随机数,只能尽量通过不可预测的伪随机来实现,同时遵照官方的建议,结合链下生成随机数,同时排除已知针对随机数的各种攻击手段的威胁。”

  • 交易回滚

简单而言就是如果黑客中奖了,他就会让结果生效,如果发现并未中奖,就采用中断攻击,整个交易回滚,直到中奖为止。

  • 溢出攻击

由于EOS系统底层asset类代码存在缺陷,这个缺陷导致极小的金额可以通过相乘放大无数倍,变成极大的金额。

  • 假转账通知和假 EOS 攻击

主要来源于开发者校验的不严谨导致的黑客有机可乘。

  • 交易阻塞攻击(CVE-2019-6199) 

近期发生了几起事件都是「交易阻塞攻击」又称「交易排挤攻击」,不同于以往随机数和交易回滚合约层的问题,交易阻塞攻击属于公链底层的漏洞。目前EOS竞猜类游戏随机数算法中只要包含账号余额或时间因素就存在被攻击可能。

  • 拒绝服务攻击

  • 重放攻击

  • …………

针对黑客不断变种的攻击,区块链安全公司慢雾安全团队和PeckShield都为开发者准备了相应的安全开发指南,均已开源在GitHub上,建议开发者们研究学习下:

慢雾科技:《 EOS 智能合约最佳安全开发指南》 :https://github.com/slowmist/eos-smart-contract-security-best-practices

PeckShield:《EOS智能合约安全编码规范——快速参考指南》:https://github.com/peckshield/EOS/tree/master/eos-tutorials

三、什么时候,项目方能够走在黑客的前面?

从 EOS 主网启动至今, DApp 与黑客成正比例增长  ,对于黑客事件我们也经历了从大吃一惊到见怪不怪的态度转变,但「黑客攻击」从来都不该成为我们司空见惯的事件。对于还年轻的区块链而言,「安全」是项目方和用户永远都无法绕过的话题,也没有人能够置身其外。

如今区块链正处于初期,鱼龙混杂,常有安全事件发生,非常感谢有慢雾安全团队和 PeckShield 监控 EOS 上发生的安全事件,作为区块链安全生态的守护者为 EOS 的稳定运行做贡献。

慢雾安全团队

专注于区块链生态安全,是由一支拥有十多年一线网络安全攻防实战的团队创建,团队成员多项成果也曾进入过Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、安全顾问、防御部署、威胁情报等。

PeckShield

汇聚全球顶尖的安全专家,连接区块链产业和学术前沿,为区块链生态提供全方位的安全解决方案。PeckShield 为区块链行业提供专业的安全服务,帮助合作伙伴规避安全风险。作为独立公正的安全团队,提供权威的安全评级和认证报告。

如何更好地保障自身的资产安全,IMEOS 采访了两家知名的安全团队就相关问题进行解答。(小本本拿起来记重点?)

关于一些 EOS 现象?

1.为什么经常会看到一个很早之前的漏洞有不少游戏也会中招,还有一些游戏甚至刚上线就被黑客盯上?

PeckShield:新游戏还在不断涌现,仅12月就有68款新游戏上线,对于新入场的游戏开发者来说,由于开发环境、语言不熟悉,项目进度等诸多原因,虽然EOS上的安全事件频发,但还没有真正重视攻击的危害性,反观黑客随着攻击技术逐渐成熟,黑客已经开始有自己的一整套扫描方法,发现新上线的游戏,即可用已知漏洞尝试对新游戏进行攻击。甚至游戏合约部署当天即被攻击者攻击。

慢雾安全团队:由于EOS生态的高热度,很多项目方跟风进入DApp领域,在开发和上线时没有特别关注安全问题,并且开发者在EOS智能合约开发方面也没有太多经验,导致合约存在很多已知的漏洞。为此我们也整理了一份最佳安全开发指南(链接见上方),推荐EOS智能合约开发者们都看一看。

2.为什么EOS的DApp上经常有黑客光顾,在其他的公链上这类的安全事件就很少?

PeckShield:目前EOS上的DApp是所有公链中最活跃的  EOS上以菠菜游戏为主,而菠菜类游戏也更易遭受攻击。 以太坊上如fomo3d也都遭受过攻击,发币合约也频频爆出漏洞,安全形势并不比eos dapp好,只是目前熊市下 以太坊大量的代币价值已经非常低,而相比之下近期上涨势头迅猛的DApp对黑客更有吸引力。

慢雾安全团队:EOS生态还比较早期,并且有很多吸引DApp项目方的优势,所以很多DApp在选择公链的时候会优先EOS。自然而然的,大量资产就流动到了EOS,这也就吸引攻击者去研究EOS底层及其智能合约,因为生态里的开发者水平参差不齐,导致了攻击事件频发。

关于安全团队都做了些什么?

慢雾安全团队

1、EOS智能合约防火墙FireWall.X是通过什么方式来保护DApp的项目方?

EOS智能合约防火墙FireWall.X是采用预言机技术,结合慢雾科技区块链威胁情报系统(BTI)的数据,判断玩家是否是恶意用户,如果是的话就阻断玩家的下注,如果不是就正常进行。同时,当发生未知的新型攻击时,项目方可以在控制台一键暂停合约,及时止损。

2、EOS天眼的灰匣子和开源合约的区别在哪里?

EOS天眼的灰匣子可以让DApp项目方自己设置要开源的那部分代码,而不是全部开源。这样可以避免代码全开源后被抄袭,同时兼顾了给用户的信任感。

PeckShield

1、PeckShield 是如何做到第一时间掌握项目攻击,甚至比游戏项目方更早获知?

 我们一直持续搭建并维护多条主流公链的态势感知系统,对EOS全网也是做了全网数据监控,基于团队在互联网上的扎实的数据分析背景经验,我们可以做到及时有效的从多维度对攻击者行为进行分析和判断,做到及时有效的预警,甚至有的多起攻击事件中,攻击者攻击刚开始进行时,就已被态势感知系统发现。

2、PeckShield 的 DAppShield 安全盾是如何做到帮助项目方预防黑客攻击的?

DApp安全盾(DAppShield) 作为一款EOS  UTM(Unified Threat Management 统一威胁管理),可以把它理解为是一套安全防护SDK,可以让开发者方便快速的集成到智能合约代码中,开发者可以自行通过DAppShield 安全等级自行处理业务逻辑,同时也提供当遇到新型攻击时可以让开发者设置一键合约熔断功能,及时止损。

关于项目方如何防范?

1.我们发现,黑客的攻击手段越来越复杂,也越来越成体系,项目方应该如何防范?

PeckShield:拥有基本的风控能力,如大额投注开奖的控制等。  排除已知攻击手段的威胁,寻求与安全公司合作,进行安全审计,规范化管理,并搭建完整的风控系统。

慢雾安全团队:攻击与防御始终是对抗升级的,作为DApp项目方,我们建议一定要注意风控,发现异常及时止损。因为EOS生态还比较早期,很多未知的攻击手法不断被发现,地下黑客也一直在盯着各种DApp,项目方之间也要保持威胁情报的互通,避免共性问题被批量“撸”。

2.近期EOS DApp 遭遇的“交易排挤攻击”不少游戏都被陆续攻破,像这类EOS主网的缺陷,游戏方应该如何做好防范?

慢雾安全团队:DApp项目方在应对这类底层的缺陷时,首先要做好风控,快速判断自己是否会受到影响,如果有影响可考虑暂停游戏,如果不受影响也应该做好风控限制,避免全部奖池都在热钱包内。然后从技术层面了解缺陷的根源,分析自己的DApp该如何规避此类问题,待修复完成后再重新上线。

关于用户如何保障资产安全?

1.对于普通用户来说,有哪些是非常重要但是容易忽视的安全问题,黑客主要是通过哪些途径来盗取私钥的?

慢雾安全团队:在数字货币世界,掌握私钥即证明身份,也代表掌握了资产,所以私钥的保管尤为重要。很多人用网盘、邮箱甚至微信来备份私钥(助记词、KeyStore等),因为地下黑客会利用其它地方泄露的账号密码去尝试登陆用户的网盘、邮箱等网站,然后寻找里面有价值的数据。如果刚好你用来备份的网盘、邮箱是和别的网站的账户密码相同,并且很不幸的别的网站的数据库被黑客获取了,这样你的资产就面临很大的风险。

我们建议采用离线的形式备份私钥(助记词、KeyStore等),同时保存多份副本,避免单一被损坏或遗失带来资产损失。

PeckShield:私钥是区块链世界所拥有数字货币资产的证明,其重要性不言而喻。私钥的安全性可以从三方面来讲,首先是生成私钥的安全性,生成私钥的网站和工具是否可信和安全,如EOS主网启动早期,出现了弱助记词生成私钥的工具,导致大量私钥被破解,我们也提供了EOSRescuer服务,帮助用户检测这一问题;其次是私钥的保存,理论上联网的介质如电脑、手机都有可能导致私钥的泄漏,离线的形式如硬件钱包等方式安全性更高;最后是避免主动泄漏私钥,如不随意在不知名的钱包或工具中导入私钥,同时对于登陆的网站等要做好甄别,防范钓鱼网站盗取私钥。