'); })();

Bitguai.com

区块链技术丨改变世界
做高价值的区块链资讯媒体

「EOS,DApp」EOS DApp 现新型交易排挤攻击及通用防御建议

据慢雾威胁情报分析系统分析,2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。
 
攻击者首先是使用 loveforlover 发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。
 
值得注意的是,在 1 月 13 日凌晨 2:40 左右,慢雾威胁情报系统再次捕获到类似攻击,攻击者通过部署攻击合约 sil******day,对知名的竞技类游戏 DApp FarmEOS 发起攻击,短短 7 分钟左右,通过 Dice 游戏,获利了 5000 多枚 EOS,并很快洗进交易所。其攻击手法与 EOS.WIN 遭受攻击的手法相同,攻击合约 sil******day 向 FarmEOS 下注后,并在攻击合约接收到 transfer 通知时,发起大量 defer 交易,使 FarmEOS 后续的开奖动作被延后。
 
慢雾安全团队已经第一时间将此次攻击情报同步给了目标交易所,同时建议所有的项目方和开发者不要在随机数算法内加入时间种子,防止被恶意攻击。而目前 FarmEOS Dice 也已经暂停。
 
这一次针对 EOS DApp 的新型攻击手法,慢雾安全团队给出几点通用防御建议对抗“交易排挤”等新型或未知攻击:
 
1. 随机数方案建议采用 EOS 官方推荐的随机数安全实践“Randomization in Contracts”;

2. 合约加上完备的风控机制,比如超过某些关键阈值自动暂停;

3. 对合约链上所有数据进行采集与建模,通过场景学习构建最合适的异常告警通知机制。
 
慢雾安全团队也在持续打磨针对 EOS DApp 威胁发现与威胁防御一套完整的 SaaS 服务,覆盖 DevSecOps 三大技术环节,既有针对开发人员的 EOS 智能合约最佳安全开发指南,也有针对运维人员的 EOS 天眼及 FireWall.X,整合形成链上链下安全治理一体化的联合防御体系,真正做到“威胁看得见,威胁防得住”。

EOS DApp 还处于 EOS 生态的相对早期的快速发展阶段,攻击者们早已将各种攻击手法自动化,这对所有 DApp 来说都是一个持续性挑战,安全是项目的底线,风控是安全的底线,希望更多力量参与进来,来自社区,回归社区,共同促进 EOS 生态的安全发展。

本文由比特怪小编整理编辑发布,文章地址:https://www.bitguai.com/bitcoin/news/66138.html,转载请注明出处!

免责声明:转载此文为传递更多市场信息,不代表比特怪的观点和立场,请自行参考。



    匿名评论
  • 评论
人参与,条评论
商务合作(QQ):819537934
媒体合作:Market@bitguai.com
底部导航

本站除标明"本站原创"外所有信息均整理转载自互联网,版权归原作者所有。如有不妥,请联系我们修改或删除。

CopyRight 2017-2018 Bitguai.com All Rights Reserved丨粤ICP备18155354号-1 百度地图 谷歌地图 RSS订阅


比特怪成立于2017年,秉承做高价值的区块链技术和应用为核心的区块链资讯媒体。网站内容主要涵盖区块链技术、游戏、应用场景和区块链项目落地等。让区块链技术应用服务于各个行业。