Bitguai.com

区块链技术丨改变世界
做高价值的区块链资讯媒体

区块链世界的“新灰产”: 各类合约漏洞已被黑客盯上

当咱们还在讨论牛市熊市,能不能回不回本的问题的时候,已经有一帮“黑客”靠撸各类dapp智能合约漏洞发家。

当咱们还在讨论牛市熊市,能不能回不回本的问题的时候,已经有一帮“黑客”靠撸各类dapp智能合约漏洞发家。

其实大家也都知道,以太坊上曾经也出现过很多次黑客事件,有拿到fomo3d大奖的,也有利用项目方合约漏洞生成额外的token的。而如今,其中一些戏码转移到了EOS上,同时由于主网上线才三个月,各类开发也都还在摸索阶段,对于撸客来说,难度和成本都不高。

昨天,一系列在EOS dapp排名靠前的游戏合约被“黑客”攻击(因涉事游戏多为菠菜,这里就不多介绍了),具体详情可以查看一篇文章:https://bihu.com/article/1358201

只是这次的攻击方式简单到颇叫人无语,在EOS网络上是可以创建同名token的,然后有人创建了一个叫EOS的token,转到了bet合约里,游戏合约没有做验证(真EOS是由eosio.token创建),于是游戏者可以转入假币,通过游戏赢回真币。

这个叫aabbccddeefg的账号,通过这一方式,陆陆续续撸了5万EOS出来。

引得吃瓜群众纷纷表示:six six six 

而这个账号的主账号guydgnjygige,更是厉害,有兴趣的可以去观摩一下,这个主账号光小号就50个。看他与其他账号的链上聊天记录,对怎么撸合约漏洞,了如指掌:

上图中向他咨询的这位仁兄zhipeng11111,曾经也撸过目前日活排名第二的eosknights的游戏中漏洞,被官方封号,看来这还不是一个人,有一帮人都在关注这一领域。

(eosknights做工较为精细,避开了这次灾难,不过今天凌晨貌似官方合约遭受了其他方式的攻击,也可能是白帽测试,目前还暂不清楚原因)

而在同一天,柚子上新晋去中心化交易平台newdex也未幸免:

究其原因,如上面我分享的币乎文中所言,这些开发团队可能都用的同一篇文章中的“问题代码”[捂脸]。

这个程序猿的锅就不要让EOS来背了,不过目前看来,此次事件对价格影响不大,当然这也是由于受损害的基本上都是开发团队,用户资产安全并未波及。

而多涉及的游戏,也算是“黑吃黑”,恐怕只能通过一些协调方式,看怎样来挽回。

而靠EOS里的仲裁,能否成功存在未知,因为从某种角度来说,“黑客”其实并未违反代码的逻辑,代码本身没校验是不是eosio.token创建的币啊,又怎么证明这是不是开发者有意为之?

很多人可能因此又对dapp的未来担忧,认为是伪需求之类,但很多时候坏事换个角度看,也是好事:

1. 做dapp目前还是很早很早的荒蛮时期,开发团队也不成熟,自然有很多坑要踩,早发现,早解决。

2. 现在有一大堆韭菜表示要多学习,要仔细研究透eos,来撸漏洞,哈哈,而这其实也会引起开发团队对代码安全的重视,加速智能合约开发的成熟。

3. 没有黑客光顾的公链,不足够有价值。

从用户角度来说,最后咱们也提醒几点:

1. 撸漏洞的正确姿势,应该是发现后告知开发团队,都是会有奖励的,想当年360不还撸了EOS团队几万美金吗,现在懂行的人少,说不定还会给你带来不少机会。

2. 想玩dapp游戏的,开个小号玩,尽量少投入,注意保护自己的资产安全。

3. 选择在排行榜上有日活量的游戏,并注意辨别网站真伪,现在已经冒出一些仿的很像的钓鱼网站,需小心。

结语

上线才三个月的网络,就已被“坏人”研究透,咱们还有什么理由不学习、不努力呢?

更多比特币行情分析:https://www.bitguai.com/hq/

免责声明:转载此文为传递更多市场信息,不代表比特怪的观点和立场,请自行参考。



商务合作(QQ):755847138
媒体合作:Market@bitguai.com
底部导航

本站除标明"本站原创"外所有信息均整理转载自互联网,版权归原作者所有。如有不妥,请联系我们修改或删除。

CopyRight 2017-2018 Bitguai.com All Rights Reserved丨苏ICP备18049263号-1 百度地图 谷歌地图 RSS订阅


比特怪成立于2017年,秉承做高价值的区块链技术和应用为核心的区块链资讯媒体。网站内容主要涵盖区块链技术、游戏、应用场景和区块链项目落地等。让区块链技术应用服务于各个行业。