SHI:競猜類游戲Fastwin遭黑客攻擊背后：Block.one官方悄然做了重大更新

(圖片來源于網絡）12月05日，新上線的又一款EOS競猜類游戲Fastwin遭到黑客攻擊，區塊鏈安全公司PeckShield態勢感知平臺捕捉到了該攻擊行為并率先進行了安全播報披露。數據顯示，當天凌晨03:18—04:15之間，黑客(ha4tsojigyge)向Fastwin游戲合約(fastwindice3)發起124次攻擊，共計獲利1,929.17個EOS。PeckShield安全人員分析發現，該攻擊行為是黑客利用Fastwin的合約在校驗合約調用方時存在的漏洞，導致“內聯反射(inlineReflex)”攻擊成功。據PeckShield此前發布的《淺析DApp生態安全》的報告顯示，截止11月底，已經發生了超27起EOSDApp安全事件，主要集中在假EOS攻擊、隨機數問題等攻擊方式，且在不斷升級演變。而這次看似較小的攻擊事件背后卻暴露出了一個較以往危害性可能更大的新型漏洞：EOSIO官方系統對調用合約自身函數存在不校驗權限的問題。

動態 | EOS競猜類游戲SKReos再次遭受攻擊:Beosin（成都鏈安）態勢感知系統報警：從昨日晚間開始截止目前，skreosladder游戲再次遭受黑客攻擊，黑客目前已經獲利數千eos。經成都鏈安安全人員初步分析，黑客仍然采用的是交易阻塞的攻擊方式，不過較為不同的是黑客控制大量賬戶同時下注，再由多個賬戶進行推塊操作由于參與攻擊的賬戶眾多。賬戶之間聯系性不明顯，攻擊隱蔽性高。成都鏈安在此提醒項目方提高警惕并重視安全防范，以避免造成更多的資產損失。[2019/8/10]

(圖一：PeckShield與Block.one郵件溝通）PeckShield認為這是一個非常嚴重的漏洞，并第一時間通知了Block.one團隊。Block.one官方團隊接受了該漏洞提議，并告知我們有其他研究團隊也事先獨立匯報了該漏洞，最終于周四(12月13日)更新了緊急補丁以補救防御，同時次日新發布1.5.1和1.4.5兩個版本，完成了該漏洞修復，避免了更多攻擊事件的發生及可能造成的資產損失。“內聯反射(inlineReflex)”攻擊原理正常的轉賬流程如圖所示：玩家通過調用系統合約(eosio.token)，將EOS轉賬給游戲合約，觸發游戲合約的分發邏輯(apply)，進而調用相關函數實現開獎。

動態 | 12月共發生20起競猜類游戲遭攻擊事件 總損失超600萬元:據 PeckShield 態勢感知平臺數據顯示，過去一個月，EOS公鏈共計發生20起競猜類游戲遭黑客攻擊事件，開發者共計損失348,204個EOS，以當前價格18元估算總價值超600萬元。PeckShield安全人員分析數據發現：1、攻擊事件損失超過1萬個EOS的有7起，大部分攻擊損失均在1,000—10,000個EOS之間；2、安全事件開始影響到包含BetDice、ToBet在內的頭部競猜類游戲，其中BetDice一次損失195,531個EOS，較為慘重；3、除個別項目因私鑰泄露和假轉賬通知等造成的漏洞，黑客主要攻擊方式為交易回滾攻擊，大部分安全事件和隨機數問題有關；4、過去半年，12月份受攻擊次數最多，損失額度亦最大環比11月份增長6倍。[2019/1/2]

而此次的攻擊者(ha4tsojigyge)，在自己帳號部署的合約中包含了與游戲合約相同的操作函數，在轉賬完成后，自行開獎獲得獎金。如圖所示：

分析 | EOS競猜類游戲Fishjoy因CPU消耗爆表致開獎延遲:據 DAppTotal 12月14日數據顯示，今天上午11點20分，EOS競猜類游戲Fishjoy出現異常，其正常開獎程序頻繁延時。DAppTotal 數據研究人員研究發現，由于開發者沒有合理預估游戲承載量，導致當前使用CPU超過了合約所抵押CPU資源上限，致使游戲CPU資源消耗爆表而無法正常開獎。進一步追蹤數據發現，Fishjoy游戲昨日活躍用戶量為383，交易額為：206,781 EOS，游戲合約支出消耗的CPU數量為435,639.518 ms，玩家花費在游戲上的CPU數量為476,668.494ms，游戲占全網CPU資源總量的12.44%。而當前游戲的DApp交易量全網排名第三，較昨日有大幅提升。分析還發現，有大量玩家單次交易使用CPU超過10ms以上。截止發稿前，Fishjoy游戲CPU還處于爆表狀態。DAppTotal在此提示廣大DApp開發者，務必注意因交易量過大而可能導致的抵押CPU資源不足問題，且應注意優化合約性能，盡量減少玩家單筆交易所需的CPU資源成本，以確保玩家正常的游戲使用體驗。[2018/12/14]

從圖中可以看出，攻擊者在自身合約的函數(pushck)中，內聯調用了與游戲合約開獎同名的函數(check)，再通過通知(require_recipient)的方式將信息發送到了游戲合約。此時游戲合約的分發邏輯(apply)沒有過濾掉此信息，并調用了開獎函數(check)。總之，攻擊者利用了EOSIO系統中對調用合約自身函數不校驗權限的漏洞，進而使用游戲合約(fastwindice3)的帳號權限發起內聯調用，致使繞過游戲合約在敏感函數中校驗調用者權限的方法(require_auth)，從而獲取了游戲合約發放的獎勵。修復方法從上述分析能夠發現，攻擊者合約的通知信息中，實際調用的合約是攻擊者合約(ha4tsojigyge)，而非游戲合約(fastwindice3)，因此在游戲合約的分發邏輯(apply)中過濾掉此類信息即可。而且從系統定義的宏(EOSIO_ABI或者EOSIO_DISPATCH，如圖四)中能夠看到，分發邏輯處理了此問題。因此PeckShield在此提醒開發者在定制化自己的分發邏輯時，需要特別注意其中的調用來源。

深層次及兼容性問題需要強調的是：這個問題屬于EOS公鏈層的較大漏洞，攻擊者在內聯調用中可以偽造任意帳號的權限執行，但這個修復可能會給部分開發者造成兼容性問題，如合約內聯調用函數，而執行者帳號(actor)不是自己的時候，會導致整個交易(transaction)執行失敗，如需解決兼容性問題請給合約賦予執行者帳號的eosio.code權限。

Tags：EOSCPUAPPSHIPIXEOSxhv幣cpu挖礦幣界app下載shinja幣怎么樣

Luna