APP:競猜類游戲 Fastwin 遭黑客攻擊背后：Block.one 官方悄然做了重大更新

12月05日，新上線的又一款EOS競猜類游戲Fastwin遭到黑客攻擊，區塊鏈安全公司PeckShield態勢感知平臺捕捉到了該攻擊行為并率先進行了安全播報披露。數據顯示，當天凌晨03:18—04:15之間，黑客向Fastwin游戲合約發起124次攻擊，共計獲利1,929.17個EOS。PeckShield安全人員分析發現，該攻擊行為是黑客利用Fastwin的合約在校驗合約調用方時存在的漏洞，導致「內聯反射」攻擊成功。

據研究，截止11月底，已經發生了超27起EOSDApp安全事件，主要集中在假EOS攻擊、隨機數問題等攻擊方式，且在不斷升級演變。而這次看似較小的攻擊事件背后卻暴露出了一個較以往危害性可能更大的新型漏洞：EOSIO官方系統對調用合約自身函數存在不校驗權限的問題。

分析 | EOS CPU資源吃緊 競猜類TOP10游戲消耗全網CPU資源84.15%:隨著DApp應用的爆發式增長，EOS主網一直存在CPU資源使用緊張的狀況，使得CPU抵押價格存在較大幅度的波動。據 DAppTotal 數據顯示，12月12日(昨天)EOS上的CPU資源消耗排行前十的DApp分別為：BetDice、EOS Max、Fastwin、MyEosVegas、ToBet、Fishjoy、EOSJacks、Endless Dice、BIG GAME、BLACKJACK - EOS Poker。其中排名第1位的BetDice CPU消耗量達到了2,345,147.01ms，占全網CPU總消耗的32.32%，Top 10 DApps消耗的CPU占據了全網CPU資源的84.15%，且全部都是競猜類DApp游戲。受此影響，昨天的CPU抵押價格最高達到了3個EOS每毫秒，意味著玩家玩一次游戲約需要抵押4個EOS（以BetDice為例）。

不難看出，現有CPU資源的上限，可能會成為制約更大規模DApps應用普及的一大因素，DApp開發者需要注意優化CPU資源使用。此前因DApp導致的CPU資源緊張問題，EOS主網已經進行了3次上限調整，最新CPU資源為初始值10%的2.5倍。[2018/12/13]

圖一，PeckShield與Block.one郵件溝通

動態 | PeckShield 安全播報: “假EOS”攻擊再出現 又一EOS競猜類游戲遭黑客攻擊:據 PeckShield 態勢感知平臺11月21日數據顯示：今天15:43 - 18:31之間，黑客（kuybupeykieh）向EOS競猜游戲合約（vegasgame111）發起攻擊，共計獲利數百個EOS，追蹤鏈上數據發現，為了防止資金流向被追蹤，該黑客采用多達幾十次的創建子賬號操作來順序轉移所獲資產。PeckShield 安全人員分析發現，該黑客利用的是“假EOS”漏洞實施攻擊，這一漏洞在10月份較為普遍，不過隨著多數開發者合約開發趨于規范，類似攻擊事件已經很少。一些較小規模的游戲還可能還存在類似漏洞，PeckShield在此提醒廣大游戲開發者和游戲玩家，警惕安全風險。[2018/11/21]

PeckShield認為這是一個非常嚴重的漏洞，并第一時間通知了Block.one團隊。Block.one官方團隊接受了該漏洞提議，并告知我們有其他研究團隊也事先獨立匯報了該漏洞，最終于周四更新了緊急補丁以補救防御，同時次日新發布1.5.1和1.4.5兩個版本，完成了該漏洞修復，避免了更多攻擊事件的發生及可能造成的資產損失。

動態 | 慢霧安全團隊剖析EOS 合約競猜類游戲 FFgame 被攻擊事件:據慢霧安全團隊消息，針對 EOS 合約競猜類游戲 FFgame 被攻擊事件的剖析，慢霧安全團隊通過與 FIBOS 創始人響馬的交流及復測推測：攻擊者通過部署攻擊合約并且在合約中使用與 FFgame 相同算法計算隨機數，產生隨機數后立即在 inline_action 中使用隨機數攻擊合約，導致中獎結果被“預測”到，從而達到超高中獎率。該攻擊者從第一次出現盜幣就已經被慢霧監控賬戶變動，在今日凌晨（11.8 號）已經第一時間將威脅情報同步給相關交易所平臺。

慢霧安全團隊提醒類似開發者：不要引入可控或可預測隨機數種子，任何僥幸都不應該存在。[2018/11/8]

「內聯反射(inlineReflex)」攻擊原理

正常的轉賬流程如圖所示：玩家通過調用系統合約(eosio.token)，將EOS轉賬給游戲合約，觸發游戲合約的分發邏輯(apply)，進而調用相關函數實現開獎。

圖二，競猜游戲正常轉賬流程

而此次的攻擊者(ha4tsojigyge)，在自己帳號部署的合約中包含了與游戲合約相同的操作函數，在轉賬完成后，自行開獎獲得獎金。如圖所示：

圖三，攻擊者內聯調用自身合約開獎

從圖中可以看出，攻擊者在自身合約的函數中，內聯調用了與游戲合約開獎同名的函數，再通過通知的方式將信息發送到了游戲合約。此時游戲合約的分發邏輯沒有過濾掉此信息，并調用了開獎函數。

總之，攻擊者利用了EOSIO系統中對調用合約自身函數不校驗權限的漏洞，進而使用游戲合約的帳號權限發起內聯調用，致使繞過游戲合約在敏感函數中校驗調用者權限的方法，從而獲取了游戲合約發放的獎勵。

修復方法

從上述分析能夠發現，攻擊者合約的通知信息中，實際調用的合約是攻擊者合約，而非游戲合約，因此在游戲合約的分發邏輯中過濾掉此類信息即可。而且從系統定義的宏中能夠看到，分發邏輯處理了此問題。因此PeckShield在此提醒開發者在定制化自己的分發邏輯時，需要特別注意其中的調用來源。

圖四，系統EOSIO_DISPATCH代碼

深層次及兼容性問題

需要強調的是：這個問題屬于EOS公鏈層的較大漏洞，攻擊者在內聯調用中可以偽造任意帳號的權限執行，但這個修復可能會給部分開發者造成兼容性問題，如合約內聯調用函數，而執行者帳號不是自己的時候，會導致整個交易執行失敗，如需解決兼容性問題請給合約賦予執行者帳號的eosio.code權限。

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627092.html

游戲鏈游

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

區塊鏈如何助力數據共享隱私保護？

Tags：EOSCPUAPPSHIeos幣最新利好消息什么cpu適合挖門羅幣聚幣官網app蘋果版shibla幣的預售幾次

比特幣交易所