文章来源:慢雾科技作者:唐飞虎
本文盘点了近期EOSDapps上影响较大的安全事件以及漏洞解读,同时以开发者的角度对EOS生态和「CodeisLaw」进行点评,严格执行Codeislaw,会增加用户监督门槛,开发者故意埋下漏洞的行为也难以谴责追诉。而过分的人治,又会成为民粹的温床,打击开发者审计合约的动力。
自主网上线以来,一场最大型的EOS合约漏洞攻击正在上演且追随者无数,涉及到的项目包括EOSBet、newdex等众多头部项目,项目方累计损失11万个EOS。目前尚不能判断这一系列事件是由一人还是多人所为,主要涉及到的账号包括:「guydgnjygige」,「imeosmainnet」,「iloveloveeos」,「aabbccddeefg」及众多疑似小号,如「chinasichuan」,「cityhangzhou」,「cityhongkong」,「guangxichina」,「guydgnjygige」,「lloolloolloo」,「meadwestvaco」,「nbcuniversal」,「ooooo11ooooo」,「shunwanggame」,「sichuanchina」,「surveymonkey」,「wolframalpha」,「slowmistsafe」,「helloboy1234」...
第一个中招的游戏-https://luckyos.io/
主要涉及到的黑客账号「guydgnjygige」。该账号创建于6月9日,最初以0.0001EOS的小额转账附带Memo打广告的形式,推广一款叫EOSGameWorld的山寨FOMO3D的游戏。https://gameworldeos.github.io/该网站现已停运,网站的社交媒体链接已导向dapp.pub。
EOS跌破8美元关口 日内跌幅为1.17%:火币全球站数据显示,EOS短线下跌,跌破8美元关口,现报7.9989美元,日内跌幅达到1.17%,行情波动较大,请做好风险控制。[2021/4/17 20:31:36]
后期该账号主要投注各类骰子、乐透类菠菜项目,并通过预测各项目的随机数产生,产生收益。
8月27日,Luckyos旗下的石头剪刀布游戏被成功攻破。
该黑客找到了剪刀的随机数产生规律,于是通过持续在指定时间出石头,来赢得奖励,并指出有38%的概率获胜。
自此,该黑客对破解其他菠菜游戏产生了浓厚的兴趣,不断的尝试挑战破解新的游戏,并通过小额转账Memo指点了http://rollgame.github.io的开发者。
第二个中招的游戏-DEOSBET
10日,黑客又利用类似的漏洞,攻击了DEOSBET,并且连续赢了24次,累计接近2.4万美元。
第三个中招的游戏-EOSHappySlot
https://happyeosslot.com/
主要涉及到的黑客账号imeosmainnet。
另一名账号为imeosmainnet的黑客对HappyEosSlot老虎机项目的攻击是在9月12日凌晨,利用重放攻击,导致项目方损失了5000个EOS。
攻击方法是黑客首先了较小的金额,并在transfer方法中加入了钩子开关,transfer过程可以被黑客预留的钩子中断,所以reveal被卡死,当reveal被卡死时候,并且这时候bet是仍然可以被调用的,重放攻击就成立了。黑客选择默认关闭开关,当检测到得到五倍以上的开奖金额之后,就再发一笔数额较大的金额,并开启开关,从而每一次都可以获得数倍的回报。
BiKi ETF专区EOS5S/USDT 24H最高涨幅21.08%:据BiKi平台ETF专区行情显示,截至今日19:20,ETF3S专区DOT3S/USDT 24H最高涨幅17.69%,现净值0.0914USDT; ETF5S专区EOS5S/USDT 24H最高涨幅21.08%,现净值0.0337USDT; BSV5S/USDT 24H最高涨幅19.91%,现净值0.0362USDT。
ETF5L/5S和ETF3L/3S是一种锚定标的5倍做多、5倍做空和3倍做多、3倍做空某种数字资产的指数基金,目前平台已上线BTC5L/5S,ETH5L/5S,XRP5L/5S,SHISHI3L/3S,UNI3L/3S,YFI3L/3S等主流币和Defi热门币种,相比合约有操作简单、永不爆仓、无保证金等特点,BiKi ETF管理费为0.1%。[2020/12/18 15:43:15]
由于happyeosslot使用了一种新的智能股权协议,项目的盈亏会直接作用在币价上,在收到黑客攻击之后,happyeosslot的企业经营系数也是随之降低到了0.1。
有趣的是,老虎机小游戏https://www.luckywith.me/slots大部分参考了HappyEOSSlot的合约代码,而在Happy家被黑客imeosmainnet攻击的前两个小时,Lucky家突然暂停了旗下的老虎机项目。Lucky家的官方解释是EOS主网节点波动严重,等主网稳定后再开放。直至发稿,Lucky家的老虎机仍未重新上线。
而黑客imeosmainnet非法获得了EOS之后,立刻转入了fcoin交易所。黑客的最初几笔资金来自火币和zb兑换中心。但从记录表明,并未看出imeosmainnet与guydgnjygige的关系,可以猜测,这两个账号背后是不同的人。
动态 | V神回应赵长鹏:新区块链未解决速度及容量问题,EOS已存在可扩展性瓶颈:V神就赵长鹏“新的区块链已在很大程度上解决了速度及容量问题”的言论回应称:“根本没有解决。即使是较新的半中心化(semi-centralized)区块链的TPS数量也仅在数百,据我所知,EOS已经存在可扩展性瓶颈问题。” 昨日,赵长鹏发推称:“我喜欢V神及ETH,速度和容量在一年前是个问题,但现在新的区块链们已在很大程度上解决了这个问题。我们需要增加人们可以实际使用的应用程序,以便我们再次突破容量限制问题。专注于应用。”[2019/8/22]
该项目目前已经重新上线。
第四个中招的游戏-FairDice
https://dapp.pub/dice/
主要涉及到的黑客账号iloveloveeos。
继Happy家失窃,一众程序员正夸赞dapp.pub旗下的FairDice的代码并潜心学习的时候,突然发现黑客也开始对Fairdice下手,并已成功了几笔。
这一次攻击的手法也是重放攻击,由于FairDice的随机数算法和时间相关,因此多次同一笔下注在不同时间开奖可以获得不同的结果,黑客正是利用了这一点,拒绝了所有失败的开奖结果,从而可以让自己的下注总是获胜。
https://www.reddit.com/r/eos/comments/9f5o6a/dapppubfairdice_version_2_is_back_an_opensourced/Fair的代码增加了安全机制,每次获胜的金额不得超过合约奖池的1%,并且我们发现及时,立即Call醒了开发者,才没有让损失继续扩大。
第五个中招的游戏,也是损失最惨重的-EOSBet
动态 | EOS主网账户突破40W:据IMEOS观察,根据eosflare监控,EOS主网账户已经超过了40W个。[2018/10/18]
主要涉及到的黑客账号aabbccddeefg。
EOSBet是建立在EOS上的一个掷骰子的DApp,被攻击时在DAppRadar上排名第四。七日交易量约860万EOS,交易笔数137万余笔。
EOSBet项目尚未开源,却也难逃离攻击。9月14日上午11点左右,aabbccddeefg在未进行投注的情况下,却以中奖的方式,在20多分钟的时间内,赢得了4.2万个EOS(总价值约为150万人民币)及投注产生的1千多个平台代币BET。据分析,EOSBet被攻击,是因为代码中并没有检查收到的EOS是不是eosio.token产生的EOS,黑客通过自己创建的名字同为EOS的「假币」,套取了真的EOS。
在获得了EOS之后,黑客分别给guydgnjygige和cctvworldcup两个账号各转账了1万个EOS。
第六个中招的游戏-EOS.win/dice随后相同手法又被用在了EOS.win上,导致各项目方产生惊恐,纷纷关闭了自己的项目。
第七个中招的是去中心化交易所-newdex
主要涉及到的黑客账号oo1122334455。
9月14日下午两点,EOS账户“oo1122334455”用同样方法发行了10亿个EOS假币,分配给了dapphub12345账户,再由dapphub12345转账给了iambillgates账户,并利用假EOS挂单进行币币交易,委托买入IPOS、BLACK、IQ、ADD,并转给xx1234512345和x12345x12345,最终由xx1234512345将非法得来的Token挂单卖得4千多个EOS,并充值到Bitfinex。
动态 | EOS Owner地址中目前仅有10万个ETH:据Trustwodes消息,EOS在过去2至3个月已经出售转移了250万个ETH,仅本周就出售转移了50万个ETH,目前还有10万个ETH。目前EOS众筹合同中完全没有ETH,他们已经全部转移到名为EOS Owner的地址中,随着6月1日后120万个ETH转出,目前该账户中剩下10万个ETH。[2018/6/26]
整个黑客攻击事件最无奈的便是,作为一个去中心化的交易所,在遭遇了假币之后,不得不通过中心化的手段来强制下架了交易对。此次事件,共造成了Newdex用户11803个EOS损失。
账户安全提醒
事件发生后,大家纷纷通过转账时的Memo,给黑客账号留言致敬或蹭黑客账号热点来发布小广告。
更有账号假装EOSBet官方,不断的向黑客账号发出索赔要求。
点评EOS生态
EOS自主网上线两个多月以来因其TPS超越各大主流公链而受到dapp开发者的青睐。EOS上的dapp数量也呈现井喷式增长。EOS公链本身的安全性,以及合约开发如何设计安全规范,也越来越引起开发者的重视。
「掷骰子」可以视作dapp开发的最小可用模型,而这次黑客攻击事件,将EOS开发者生态不健全的问题翻到了台面。如果这类dapp的安全性都不能保证,大家畅想的killerdapp更是无从谈起。目前EOS上几乎每一个类似项目都受到了不同程度的攻击。一方面是EOS合约的表达能力较强,使得很多开发者对可能存在的漏洞缺乏全面的考虑,另一方面是开发者刚刚进入这个领域,缺少必要的安全攻防经验。EOS合约开发者们各自为阵,大部分项目方为了安全起见选择不开源,而实际的结果只能是掩耳盗铃。黑客往往能够根据wasm和abi文件还原出合约的信息,很多时候封闭的代码只会隐藏自己的错误反而给黑客可乘之机。EOS上目前也缺乏一些类似ERC20和OpenZepplin这样的标准库,来给开发者提供一些合约设计上的参考。
作为EOSDapp开发者,不仅要自掏腰包购买ram,带宽,辛苦踩坑。合约上线后还面临着被用户维权,被黑客薅,被BP丢块。最后还可能面临着被BM降维打击的风险。可以说是生态中最苦逼的一波人。
截止目前,黑客还有一些攻击手法没有被完全揭示,黑客可能还留藏着一些底牌,等待项目做大之后再使用,以下是我们总结的一些给Dapp开发者的忠告:
跟随社区的忠告,当友商被攻击时及时update信息,确认自己的合约是否有类似的漏洞。
添加风控功能,防止黑客在短时间内盗取大量EOS。
总是使用defertranscation,阻止黑客的钩子攻击。
种子只使用一次,避免被重放攻击。
EOS核心仲裁法庭(ECAF)
EOS在社区治理方面与以太坊等区块链有很大的不同,率先创建了仲裁法庭机制来服务于社区,作为社区的日常管理。当出现争议时,社区成员便可以向ECAF提出诉求,等待社区仲裁。
仲裁员通常由社区公民投票任命,而撤销仲裁员的任命需要三大权力机构中的两方批准方可执行。一般情况下一个案件仅指定一名仲裁员,而特殊情况则需由一名高级仲裁员领导的三人小组进行审理。
任何社区成员都可以在线上提交仲裁申请,https://eoscorearbitration.io/file-a-claim/,并按照案件涉及的损失金额来支付仲裁费用。目前法庭裁决过的申请主要为盗取账号进行非法转账,申请人需要提供自己拥有该账号的证明,其他账号进行了非法转账的证据。这类案件尚不能直接追回损失,法庭的裁决只是对非法账号进行冻结,所有BP不再执行与该账号相关的任何操作。
所有案件中,大家最关心的便是前段时间出事的区块链游戏EOS狼人杀了,该项目团队于7月26日及7月29日分别发布了两个声明,声称被黑客eosfomoplay1非法盗取60686.4190EOS,并建议中奖者guztknrygqge通过EOS核心仲裁法庭申请仲裁。该事件一直被外界认为是狼人杀团队监守自盗的行为,认为eosfomoplay1的黑客账号属于狼人杀团队。
该案件在ECAF的案件编号是#ECAF00000339,紧急处理的结果是所有BP不再执行eosfomoplay1账号以及与其公钥私钥相关的任何交易,即冻结该账号,等待案件的进一步审查。
截止目前,该账号非法所得的EOS依旧冻结在其中,理论上讲,如果证据确凿,且ECAF通过裁决,判断这笔EOS应转入给受害者,是可以追回的。只不过目前尚未有过成功追讨的案例。另一个例子是,Happyeosslot就曾经将合约抵押贷款refund返回的eos当成是开奖,从而给eosio.stack账户开出过一笔大奖:https://github.com/EOSIO/eos/issues/5480
CodeisLaw?代码是项目的骨架和齿轮,尽管各个项目的目标或许是做最公平的Gambling、或许是为了盈利赚大钱;尽管各个项目对外有着明确的玩法规则,但拨开外衣,最本质客观的规则还是运行在各个节点机器上的代码。
从道德上来讲,黑客攻击了项目合约转走了「非法」所得;但从代码这一「规则」角度,黑客的攻击,也可以视作合约所允许的一种「玩法」,黑客精妙地发掘了「裏メニュー」,并赢得了「奖励」。
「立法」总会落后于现实。规则是死的,而人总是会犯错,因此我们需要累积前人智慧作为指导。
由于代码的知识门槛,严格执行Codeislaw,会增加用户监督门槛,开发者故意埋下漏洞的行为也难以谴责追诉。而过分的人治,又会成为民粹的温床,打击开发者审计合约的动力。
从整个公链的利益考虑,此次的黑客攻击,虽然惨痛,但仲裁法庭不应该干涉,而是应该敦促制定一套安全标准,规范未来项目的开发;也让ECAF真正成为生态的重要一环。
我们一直希望开源能够让世界变得更好,这是因为我们相信透明的机制的力量,相信透明的规则能够让信任的成本降到最低,让合作的效率变得更高。而基于客观规则的行为,如果因此受到惩罚,那么无疑会助长更多对规则的破坏和不公正的行为。但我们也支持在现在生态还处于比较原始的阶段,仲裁法庭利用自身的专业知识一起构建更安全的规则,维护广大用户群体的利益,让EOS公链的生态变得更好。
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627032.html
EOS柚子
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
韩国利用三星区块链技术打击海关
「写一个区块链白皮书多少钱?」「看你需要什么样式的了,起价5000,加PPT8500,英文翻译再加1000。」「你这太便宜了,给我找个财经专家来写,钱不是事!」当白皮书变成发家致富的金钥匙时,捉刀代笔的人可能就会成为钥匙外面的那层金.
1900/1/1 0:00:005月26日下午,由本体ONT主办,Cocos-BCX协办的主题为“探索区块链游戏发展红利”的链游沙龙即将在成都市高新区腾讯大厦路演大厅举办.
1900/1/1 0:00:00过去24小时,加密货币市场经历了震荡下行的走势,特别是在清晨时分,比特币继续下跌200美元至7600美元附近。其他主要加密货币也纷纷跟跌.
1900/1/1 0:00:00据报道,美国国家安全局已经开始监督比特币区块链,希望识别这种分布式网络的用户的身份。根据“TheIntercept”本周二的报道,该媒体通过美国知名揭秘者爱德华·斯诺登获得了机密文件——显示比特币监督仍是NSA的首要任务之一.
1900/1/1 0:00:00原文阅读时长10分钟:https://medium.com/@Valore/most-common-cryptocurrency-scams-tips-to-avoid-them-81126c9f399a区块链和加密货币空间的增长无疑.
1900/1/1 0:00:005月22日火币Prime第三期IEO将上线稳定币项目ReserveProtocol。作为一个稳定币项目,Reserve采取了先中心化、再去中心化的模式,前期推出由美元担保由信托公司持有的稳定币,然后将在2020年主网上线后推出去中心化.
1900/1/1 0:00:00