DAPP中奖率如何提高？黑客用了这种方法

1月16日，据慢雾、PeckShield等安全公司披露，近期针对EOSDApp遭遇“交易排挤攻击”的持续性威胁情报监测：EOS.WIN、FarmEOS、影骰、LuckBet、GameBet、Fishing、EOSDice、STACKDICE、ggeos等知名DApp陆续被攻破，该攻击团伙的攻击行为还在持续。“交易排挤攻击”是一种新型攻击手法，攻击者首先发起正常的转账交易，然后使用另一个合约帐号检测中奖行为。如果不中奖，则发起大量的defer交易，将项目方的开奖交易“挤”到下一个区块中，此次攻击源于项目方的随机数算法使用了时间种子，使攻击者提升了中奖几率，导致攻击成功。关于为何EOS竞猜类游戏很难免疫这种新型攻击手法时，PeckShield硅谷研发中心负责人Jeff表示：“所有竞猜类游戏基本都包含随机数的游戏机制，但本质上随机数和区块链网络要求所有分布式节点运算结果保持一致存在内在矛盾。现有随机数解决方案都采用的是链上数据，一定程度上可以实现伪随机，但黑客可以抢先算出结果进而实现攻击。”在这种攻击中，我们首先要提到随机数生成方式。DVP区块链安全研究人员表示，随机数对于区块链技术来说非常关键，生成任何人不可知的真随机数是目前区块链生态存在的一个很难解决的问题，所以目前EOS竞猜类DApp都是通过各种各样的种子生成伪随机数。在伪随机数里，一旦黑客知道了生成随机数的方案和取的种子，就有可能预测到结果，形成随机数预测攻击。伪随机数生成方案分为链上和链下随机种子随机数生成方案两种。据了解，链上随机数种子生成方案即将区块数据或区块时间等链上数据作为种子，这种方案由于不需要用户提供种子，更方便，对用户门槛较低，因此即使有安全风险，也成为是目前EOS生态内最普遍方案。而EOS官方推荐的链下随机种子随机数生成方案，指的是种子来源于双方用户，不依赖于物理或链上数据，技术上更为安全，但对用户不够友好。另外有些竞猜类DApp使用链外数据，即非链上数据，但也不来自用户。这种方法虽然解决了用户门槛和随机数攻击问题，但由于链外数据可能是公司用服务器生成的随机数，有黑箱操作的风险，有失公平。区别于此前用到的随机数预测攻击，即通过破解随机算法和随机种子、黑随机数的方法进行攻击，EOSDAPP最近正遭受的“交易排挤攻击”则是利用EOS底层的问题来攻击的手法。据慢雾安全团队介绍，通过延时交易攻击者可以变相影响随机数进行攻击。DVP区块链安全研究人员解释说，一般的交易发送与执行过程是用户通过cleos客户端或其他方式将交易请求发送给API节点，在API节点处理后，最终到达超级节点进行打包出块。问题在于，EOS公链允许正在执行的交易里发送延迟交易，从而绕过API节点的验证，直接加入超级节点待执行队列，同时会将这些交易信息同步给其他超级节点。因此，攻击者可以先下注，然后通过部署合约运算，进而从API节点中得到结果，如果没中奖，就发送延时交易，直到中奖为止。Jeff表示该攻击是指攻击者算出了随机数结果对其不利，所以采取阻塞攻击让EOS网出的块里只包含垃圾交易，没有合法交易，进而进行随机数预测攻击。其本质是区块链目前的随机数机制产生的结果可以被猜出，进而被攻击。关于攻击的解决方案，DVP、慢雾和PeckShield都提到应采用官方推荐的链下随机种子随机数生成方案、采用完备的风控机制。慢雾还提到可以通过场景学习构建最合适的异常告警通知机制。据dappradar.com统计，EOSDApp中竞猜类占比62%。所有的竞猜类DAPP都用到随机数，所以防范攻击非常重要。据DVP区块链安全研究人员，除竞猜类DApp之外，该攻击甚至还可以直接让EOS主网瘫痪，但目前EOS主网已经修复该问题，DAPP仍没有。我是Odaily星球日报记者遂心，加好友烦请备注姓名、单位、职务和事由。

欧易Web3钱包与DappRadar达成战略合作，以增强用户搜寻dApp体验:据OKX Web3推特消息，欧易Web3钱包与Web3市场数据和Dapp分发平台DappRadar正式达成战略合作，以增强用户搜寻dApp 体验。通过新的集成，欧易Web3钱包用户不仅可以享受更加便捷的dApp探索和追踪服务，还可以轻松访问DappRadar，实时查看个人账户的加密资产。

据悉，欧易Web3钱包是全面的异构多链钱包，内置NFT市场、跨链Swap、赚币，DApp探索4大板块，能够满足用户一站式Web3需求。[2023/1/3 22:22:39]

韩国速食连锁店Mom's Touch与链游PlayDapp合作开发NFT:3月28日消息，韩国速食连锁店Mom's Touch宣布，与韩国区块链游戏公司PlayDapp签署合作协议，以开发自己的NFT。通过此次合作，两家公司计划展开合作，包括为Mom's Touch开发结合NFT和元宇宙技术的数字内容。对此，Mom's Touch表示：NFT最近在酒类和游戏之外成为零售行业的热门话题，已经被年轻一代认可为具有趣味元素的数字资产。我们将加速业务通过增加NFT的数量，并将其应用于包括营销在内的实际业务来整合NFT的扩展。（Newsway）[2022/3/28 14:21:31]

去中心化金融合约平台UMA开启Dapp挖矿计划:去中心化金融合约平台UMA表示，其YieldDollar流动性挖矿计划中代币奖励还有一半尚未使用，从北京时间1月4日7时开始，uLABS将把开发人员挖矿奖励的30％转变为DApp挖矿奖励，原本矿工的奖励不变。DApp挖矿可供部署白名单合同的任何开发人员使用，合同部署者可以奖励任何将客户吸引到mintsynth的DApp建设者。目前DeFi协议OpenDAO已创建了DApp挖矿界面，第一步将根据UMA协议推出由现实世界资产支持的稳定币，并将于1月4日之后开始收取挖矿奖励。

此外为方便理解，YieldDollar流动性挖矿计划的代币名称将改为例如YD-BTC及YD-ETH，YD为YieldDollar的缩写。YD-MAR资金池将于北京时间12月26日7时开启流动性挖矿，uUSD-DEC资金池的流动性挖矿将于12月29日7时结束，uUSD-DEC代币将于2021年1月1日失效。[2020/12/24 16:24:42]

标签：APPDAPDAPPEOS元界币app最新DapperDAPP币EOSDT

币安币热门资讯