DApp再现回滚攻击,一天损失近500万

据IMEOS报道,ToBet12月19日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

据IMEOS报道,ToBet12月19日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

DApp再现回滚攻击,一天损失近500万/

DApp再现回滚攻击,一天损失近500万

12月19日,众多EOS DApp再次遭遇回滚攻击,BetDice损失20万EOS, EOS Max损失超5万 EOS,ToBet损失22000EOS,Big.game损失8000EOS。 攻击共造成28万EOS被盗,按照火币Pro EOS最新价格17.8元计算,这些EOS代币价值498.4万。

据IMEOS报道,ToBet12月19日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

至于为什么会发生这样的漏洞,IMEOS给出了详细的解释。攻击者发现了一个EOS Node的漏洞,由于API节点(备用节点)和BP节点(超级节点)同步有时间差,导致可回滚区块的交易可以被这个漏洞利用。攻击者利用这个漏洞下注,并只保留获胜的交易。

事实上,此前DApp网络也遭到了大量的此类攻击。

12月12日,黑客(helookitiqas)向EOS竞猜类游戏钓鱼高手(kittyfishing)发起攻击,在两个多小时内,共计发起91次攻击,总计获利558.85个EOS。该黑客账户(helookitiqas)在攻击得手后,将大部分所得资金转向币安交易所账号(binancecleos)。

同时,安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。此外,另有两款竞猜类游戏也于12月12日遭到了数十次同类型的攻击,损失数百个EOS,目前还有一款游戏合约尚未修复仍面临再次被攻击的风险。

11月27日,PeckShield发现,黑客ybdzmtgouwxn向一款EOS竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中。

PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。

针对BetDice等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过RPC接口get_actions 查询热钱包充值记录时,应检查充值 transaction所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。

EOS生态发展固然快,但是漏洞问题也一直困扰着生态发展。如果这些问题能得到彻底解决,那么DApp生态发展或许才能上一个新的台阶。

生成图片
9

发表评论

DApp再现回滚攻击,一天损失近500万

星期四 2018-12-20 16:24:59

据IMEOS报道,ToBet12月19日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

DApp再现回滚攻击,一天损失近500万/

DApp再现回滚攻击,一天损失近500万

12月19日,众多EOS DApp再次遭遇回滚攻击,BetDice损失20万EOS, EOS Max损失超5万 EOS,ToBet损失22000EOS,Big.game损失8000EOS。 攻击共造成28万EOS被盗,按照火币Pro EOS最新价格17.8元计算,这些EOS代币价值498.4万。

据IMEOS报道,ToBet12月19日凌晨2点42分遭到黑客恶意攻击,损失22000个EOS,攻击账号为kfexzmckuhat。

至于为什么会发生这样的漏洞,IMEOS给出了详细的解释。攻击者发现了一个EOS Node的漏洞,由于API节点(备用节点)和BP节点(超级节点)同步有时间差,导致可回滚区块的交易可以被这个漏洞利用。攻击者利用这个漏洞下注,并只保留获胜的交易。

事实上,此前DApp网络也遭到了大量的此类攻击。

12月12日,黑客(helookitiqas)向EOS竞猜类游戏钓鱼高手(kittyfishing)发起攻击,在两个多小时内,共计发起91次攻击,总计获利558.85个EOS。该黑客账户(helookitiqas)在攻击得手后,将大部分所得资金转向币安交易所账号(binancecleos)。

同时,安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。此外,另有两款竞猜类游戏也于12月12日遭到了数十次同类型的攻击,损失数百个EOS,目前还有一款游戏合约尚未修复仍面临再次被攻击的风险。

11月27日,PeckShield发现,黑客ybdzmtgouwxn向一款EOS竞猜类游戏nutsgambling发起攻击,在不到一小时内,共计发起144次攻击,总计获利1141.71个EOS。为了防止资金流向被追踪,该黑客采用多个子账号顺序将所获资产转移至账号kcbtvwtxeabc中。

PeckShield 安全人员分析发现,黑客是采用交易回滚攻击手段对游戏合约实施攻击。

针对BetDice等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过RPC接口get_actions 查询热钱包充值记录时,应检查充值 transaction所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。

EOS生态发展固然快,但是漏洞问题也一直困扰着生态发展。如果这些问题能得到彻底解决,那么DApp生态发展或许才能上一个新的台阶。