是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

浪花财经浪花财经 专栏 2018年10月18日
1.47W 0
是和EOS杠上了!黑客三番五次攻击还屡屡得手:告诉你五大秘密近日,基于EOS的一款游戏再次遭受黑客攻击,黑客是成了区块链项目EOS的头等大事了,也成了EOS过不去的一道坎了,为啥EOS上大部分的DAPP——成了黑客的香饽饽,让铁杆粉丝告诉你这里的五大秘密吧。

是和EOS杠上了!黑客三番五次攻击还屡屡得手:告诉你五大秘密

近日,基于EOS的一款游戏再次遭受黑客攻击,黑客是成了区块链项目EOS的头等大事了,也成了EOS过不去的一道坎了,为啥EOS上大部分的DAPP——成了黑客的香饽饽,让铁杆粉丝告诉你这里的五大秘密吧。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

一黑客手段——“假EOS”到“假转账通知”

近日 EOSBet 又被黑客攻击了。损失达损失高达500万。这次是又出什么幺蛾子了呢?怎么老是被黑客瞄上呢,真有点赵本山的小品《买捌》一样,总不能瞄着一个人吧,坑人也该换换人,换换地方了吧,作为一个吃瓜群众心里也想说,EOS你的点怎么这么背,连续被黑客盯上。

在9月,EOSBet平台被黑客攻击,实际来说EOSBet平台被黑客攻击不是不说一点先兆都没有,在9月9日,一名用户下注30秒后赢得头奖,当时并没有引起官方重视,官方给出理由“良好的压力测试”。把这一次智能合约遭到黑客攻击说成了“良好的压力测试”。但是呢,一个礼拜以后,就出现EOSBet平台被黑客攻击,损失高达25万美元被黑客盗走。官方给出理由是黑客利用代码中的一个漏洞,

说起这个就不得不说DEOSGames平台,一名用户在很短的时间内连续赢得了60万美元的奖金。但官方回应不是代码问题,只是运气好,最后怎么样呢,不了了之。那么近日这次EOSBet 又被黑客攻击了,又是怎么回事呢?这次原因就更很简单了,就是通过伪造转账通知,零成本成功下注,然后只负责赢钱就行了。从假EOS”到“假转账通知”过程又透露什么信息呢。不得不让人深思了。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

二EOS上大部分的DAPP——成了黑客的香饽饽

为啥能成了黑客的香饽饽,经过分析可归纳以下几个方面,

1,官方不够重视,比如在在9月9日这一次智能合约遭到黑客攻击说成了“良好的压力测试”就是一个很好例证。

2,小小的bug能把大象放翻,第一次出现EOSBet平台被黑客攻击,官方给出有漏洞的代码,据业内分析,仅仅因为缺少对代码调用是否来源于“eosio.token” 的判断!还有比如最后这一次防范,据业内人士称防范也很简单:就是验证通知中的 from、to 参数就OK,就可以完全避免“假通知”漏洞。是不是太低级了,有网友调侃这些开发者难道是临时工吗?

3,就是第三方审计师的技能的水平问题,连续几次出现这样的问题,比如,没有检查出合约是不是eosio.token,所以导致“假EOS”出现。

4,逻辑不够严谨,在处理transfer通知时只需要校验to是不是为self就行了,(也就是智能合约本身问题)。

5,黑客看到其背后丰厚的利润,这也是黑客盯着EOS不放手的重要原因之一。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

三,EOS官方回应

这次攻击后,官方也及时做出了回应,称为了让其他也存在漏洞开发者能及时修补,从“假EOS”到“假转账通知”事情当中,不但让我们吃瓜群众心疼,也让我们看到这些攻击事件看到了EOS成长的阵痛和付出的代价,但是你也不要重复踩同一个坑吧,

四,网友热议

不管是以太坊或区块链项目EOS,安全真的很重要的!这次官方表示表示,这次Bug是琐碎的,很难预料到,那我们还是听听网友怎么说的,有的网友表示很难理解这样的小bug,也许只要花1、2万块钱请业内的程序员一起看一下就能检查出来,但是偏偏要等输的大了才重视呢,是不是也输得起啊。也有网友调侃说虽然讲得有道理,但是这个错误太低级了,我去试试别家,人家都没有犯这种错误。也有网友说我也觉得peckshield的分析不够有力,况且之前还发生过假EOS。应该都有判断action和code的能力了。也有网友说原因只要官方自己知道,反正看浏览器记录,确实有recipient的记录,很可能他们上次改了宏,但没改transer里的代码吧。有网友调侃说,eos还是个孩子呀,有个小技能(黑客)就欺负他,而且EOS上大部分的DAPP都被黑客攻击遍了,这样合适吗?有网友说这些开发者难道是临时工吗?你怎么看呢。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

生成图片
10
区块链(9086)香饽饽(1)黑客攻击(8)

相关文章

发表评论

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

星期四 2018-10-18 19:54:11

是和EOS杠上了!黑客三番五次攻击还屡屡得手:告诉你五大秘密

近日,基于EOS的一款游戏再次遭受黑客攻击,黑客是成了区块链项目EOS的头等大事了,也成了EOS过不去的一道坎了,为啥EOS上大部分的DAPP——成了黑客的香饽饽,让铁杆粉丝告诉你这里的五大秘密吧。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

一黑客手段——“假EOS”到“假转账通知”

近日 EOSBet 又被黑客攻击了。损失达损失高达500万。这次是又出什么幺蛾子了呢?怎么老是被黑客瞄上呢,真有点赵本山的小品《买捌》一样,总不能瞄着一个人吧,坑人也该换换人,换换地方了吧,作为一个吃瓜群众心里也想说,EOS你的点怎么这么背,连续被黑客盯上。

在9月,EOSBet平台被黑客攻击,实际来说EOSBet平台被黑客攻击不是不说一点先兆都没有,在9月9日,一名用户下注30秒后赢得头奖,当时并没有引起官方重视,官方给出理由“良好的压力测试”。把这一次智能合约遭到黑客攻击说成了“良好的压力测试”。但是呢,一个礼拜以后,就出现EOSBet平台被黑客攻击,损失高达25万美元被黑客盗走。官方给出理由是黑客利用代码中的一个漏洞,

说起这个就不得不说DEOSGames平台,一名用户在很短的时间内连续赢得了60万美元的奖金。但官方回应不是代码问题,只是运气好,最后怎么样呢,不了了之。那么近日这次EOSBet 又被黑客攻击了,又是怎么回事呢?这次原因就更很简单了,就是通过伪造转账通知,零成本成功下注,然后只负责赢钱就行了。从假EOS”到“假转账通知”过程又透露什么信息呢。不得不让人深思了。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

二EOS上大部分的DAPP——成了黑客的香饽饽

为啥能成了黑客的香饽饽,经过分析可归纳以下几个方面,

1,官方不够重视,比如在在9月9日这一次智能合约遭到黑客攻击说成了“良好的压力测试”就是一个很好例证。

2,小小的bug能把大象放翻,第一次出现EOSBet平台被黑客攻击,官方给出有漏洞的代码,据业内分析,仅仅因为缺少对代码调用是否来源于“eosio.token” 的判断!还有比如最后这一次防范,据业内人士称防范也很简单:就是验证通知中的 from、to 参数就OK,就可以完全避免“假通知”漏洞。是不是太低级了,有网友调侃这些开发者难道是临时工吗?

3,就是第三方审计师的技能的水平问题,连续几次出现这样的问题,比如,没有检查出合约是不是eosio.token,所以导致“假EOS”出现。

4,逻辑不够严谨,在处理transfer通知时只需要校验to是不是为self就行了,(也就是智能合约本身问题)。

5,黑客看到其背后丰厚的利润,这也是黑客盯着EOS不放手的重要原因之一。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密

三,EOS官方回应

这次攻击后,官方也及时做出了回应,称为了让其他也存在漏洞开发者能及时修补,从“假EOS”到“假转账通知”事情当中,不但让我们吃瓜群众心疼,也让我们看到这些攻击事件看到了EOS成长的阵痛和付出的代价,但是你也不要重复踩同一个坑吧,

四,网友热议

不管是以太坊或区块链项目EOS,安全真的很重要的!这次官方表示表示,这次Bug是琐碎的,很难预料到,那我们还是听听网友怎么说的,有的网友表示很难理解这样的小bug,也许只要花1、2万块钱请业内的程序员一起看一下就能检查出来,但是偏偏要等输的大了才重视呢,是不是也输得起啊。也有网友调侃说虽然讲得有道理,但是这个错误太低级了,我去试试别家,人家都没有犯这种错误。也有网友说我也觉得peckshield的分析不够有力,况且之前还发生过假EOS。应该都有判断action和code的能力了。也有网友说原因只要官方自己知道,反正看浏览器记录,确实有recipient的记录,很可能他们上次改了宏,但没改transer里的代码吧。有网友调侃说,eos还是个孩子呀,有个小技能(黑客)就欺负他,而且EOS上大部分的DAPP都被黑客攻击遍了,这样合适吗?有网友说这些开发者难道是临时工吗?你怎么看呢。

是和EOS杠上了黑客三番五次攻击还屡屡得手:告诉你五大秘密