EOS:DAPP中獎率如何提高？黑客用了這種方法

1月16日，據慢霧、PeckShield等安全公司披露，近期針對EOSDApp遭遇“交易排擠攻擊”的持續性威脅情報監測：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名DApp陸續被攻破，該攻擊團伙的攻擊行為還在持續。“交易排擠攻擊”是一種新型攻擊手法，攻擊者首先發起正常的轉賬交易，然后使用另一個合約帳號檢測中獎行為。如果不中獎，則發起大量的defer交易，將項目方的開獎交易“擠”到下一個區塊中，此次攻擊源于項目方的隨機數算法使用了時間種子，使攻擊者提升了中獎幾率，導致攻擊成功。關于為何EOS競猜類游戲很難免疫這種新型攻擊手法時，PeckShield硅谷研發中心負責人Jeff表示：“所有競猜類游戲基本都包含隨機數的游戲機制，但本質上隨機數和區塊鏈網絡要求所有分布式節點運算結果保持一致存在內在矛盾。現有隨機數解決方案都采用的是鏈上數據，一定程度上可以實現偽隨機，但黑客可以搶先算出結果進而實現攻擊。”在這種攻擊中，我們首先要提到隨機數生成方式。DVP區塊鏈安全研究人員表示，隨機數對于區塊鏈技術來說非常關鍵，生成任何人不可知的真隨機數是目前區塊鏈生態存在的一個很難解決的問題，所以目前EOS競猜類DApp都是通過各種各樣的種子生成偽隨機數。在偽隨機數里，一旦黑客知道了生成隨機數的方案和取的種子，就有可能預測到結果，形成隨機數預測攻擊。偽隨機數生成方案分為鏈上和鏈下隨機種子隨機數生成方案兩種。據了解，鏈上隨機數種子生成方案即將區塊數據或區塊時間等鏈上數據作為種子，這種方案由于不需要用戶提供種子，更方便，對用戶門檻較低，因此即使有安全風險，也成為是目前EOS生態內最普遍方案。而EOS官方推薦的鏈下隨機種子隨機數生成方案，指的是種子來源于雙方用戶，不依賴于物理或鏈上數據，技術上更為安全，但對用戶不夠友好。另外有些競猜類DApp使用鏈外數據，即非鏈上數據，但也不來自用戶。這種方法雖然解決了用戶門檻和隨機數攻擊問題，但由于鏈外數據可能是公司用服務器生成的隨機數，有黑箱操作的風險，有失公平。區別于此前用到的隨機數預測攻擊，即通過破解隨機算法和隨機種子、黑隨機數的方法進行攻擊，EOSDAPP最近正遭受的“交易排擠攻擊”則是利用EOS底層的問題來攻擊的手法。據慢霧安全團隊介紹，通過延時交易攻擊者可以變相影響隨機數進行攻擊。DVP區塊鏈安全研究人員解釋說，一般的交易發送與執行過程是用戶通過cleos客戶端或其他方式將交易請求發送給API節點，在API節點處理后，最終到達超級節點進行打包出塊。問題在于，EOS公鏈允許正在執行的交易里發送延遲交易，從而繞過API節點的驗證，直接加入超級節點待執行隊列，同時會將這些交易信息同步給其他超級節點。因此，攻擊者可以先下注，然后通過部署合約運算，進而從API節點中得到結果，如果沒中獎，就發送延時交易，直到中獎為止。Jeff表示該攻擊是指攻擊者算出了隨機數結果對其不利，所以采取阻塞攻擊讓EOS網出的塊里只包含垃圾交易，沒有合法交易，進而進行隨機數預測攻擊。其本質是區塊鏈目前的隨機數機制產生的結果可以被猜出，進而被攻擊。關于攻擊的解決方案，DVP、慢霧和PeckShield都提到應采用官方推薦的鏈下隨機種子隨機數生成方案、采用完備的風控機制。慢霧還提到可以通過場景學習構建最合適的異常告警通知機制。據dappradar.com統計，EOSDApp中競猜類占比62%。所有的競猜類DAPP都用到隨機數，所以防范攻擊非常重要。據DVP區塊鏈安全研究人員，除競猜類DApp之外，該攻擊甚至還可以直接讓EOS主網癱瘓，但目前EOS主網已經修復該問題，DAPP仍沒有。我是Odaily星球日報記者遂心，加好友煩請備注姓名、單位、職務和事由。

動態 | EOS Dapp活躍用戶116739 交易額4384萬元:據DappReview數據顯示，今日Dapp新增4個,EOS Dapp活躍用戶116739，交易額4384萬元（-19%）；Tron Dapp活躍用戶35831，交易額5120萬元（+31%）；ETH Dapp活躍用戶11065，交易額5833萬元（+14%）。過去24小時Dapp交易額：EOS最高的為“鯨交所”（交易額1484萬元）；Tron最高的為“WINk(TRONbet)”（交易額3390萬元）；ETH最高的為“NEST”（交易額3421萬元）。[2019/9/9]

動態 | 近一周EOS/ETH/TRON?Dapp周交易筆數大于100,000有45款:據RatingDapp和RatingToken大數據監測顯示，最近一周，?EOS/ETH/TRON三大主流公鏈平臺Dapps?周交易筆數大于100,000有45款(EOS 36款，ETH無，TRON 9款)，環比上周下降2.2%，其中類28款、游戲5款、市場類5款、風險類1款、其他類型6款，以類Dapp為主；從周新增用戶來看，最近一周，有4款Dapp新增用戶大于10,000，分別為ADM(18514)、Fishing Master(16377)、Win.town(16364)、TRON Hi-Lo(16357)，其中Fishing Master、Win.town、TRON Hi-Lo三款Dapp近幾個月來，周新增用戶均大于10,000。[2019/5/13]

聲音 | 加密對沖基金聯合創始人：以太坊在DApp市場的主導地位將受到挑戰:據Cryptoglobe消息，加密對沖基金Multicoin Capital聯合創始人Kyle Samani表示，在DApp市場和智能合約開發市場上，一些新應用的崛起可能會挑戰以太坊在該領域的主導地位。[2019/1/14]

Tags：DAPAPPDAPPEOSBonkey dAPPbitpie錢包app官網世界幣worldapp下載EOST幣

USDC