SHI:竞猜类游戏Fastwin遭黑客攻击背后：Block.one官方悄然做了重大更新

(图片来源于网络）12月05日，新上线的又一款EOS竞猜类游戏Fastwin遭到黑客攻击，区块链安全公司PeckShield态势感知平台捕捉到了该攻击行为并率先进行了安全播报披露。数据显示，当天凌晨03:18—04:15之间，黑客(ha4tsojigyge)向Fastwin游戏合约(fastwindice3)发起124次攻击，共计获利1,929.17个EOS。PeckShield安全人员分析发现，该攻击行为是黑客利用Fastwin的合约在校验合约调用方时存在的漏洞，导致“内联反射(inlineReflex)”攻击成功。据PeckShield此前发布的《浅析DApp生态安全》的报告显示，截止11月底，已经发生了超27起EOSDApp安全事件，主要集中在假EOS攻击、随机数问题等攻击方式，且在不断升级演变。而这次看似较小的攻击事件背后却暴露出了一个较以往危害性可能更大的新型漏洞：EOSIO官方系统对调用合约自身函数存在不校验权限的问题。

动态 | EOS竞猜类游戏LuckyClover和UnicornBet遭黑客攻击 已紧急关停:今日凌晨，PeckShield安全盾风控平台DAppShield监测到多名黑客向EOS竞猜类游戏LuckyClover和UnicornBet发起连续攻击，获利数千个EOS。在监控到多个游戏被攻击后，PeckShield第一时间联系项目方实施应急响应风控机制，避免了开发者遭受更大的数字资产损失。PeckShield安全人员分析发现，黑客分别采用的是hard_fail和假EOS攻击手段。PeckShield安全人员在此提醒，开发者务必合约上线前做好安全测试，特别是要排除已知攻击手段的威胁，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/8/2]

(图一：PeckShield与Block.one邮件沟通）PeckShield认为这是一个非常严重的漏洞，并第一时间通知了Block.one团队。Block.one官方团队接受了该漏洞提议，并告知我们有其他研究团队也事先独立汇报了该漏洞，最终于周四(12月13日)更新了紧急补丁以补救防御，同时次日新发布1.5.1和1.4.5两个版本，完成了该漏洞修复，避免了更多攻击事件的发生及可能造成的资产损失。“内联反射(inlineReflex)”攻击原理正常的转账流程如图所示：玩家通过调用系统合约(eosio.token)，将EOS转账给游戏合约，触发游戏合约的分发逻辑(apply)，进而调用相关函数实现开奖。

动态 | 今晨多款EOS竞猜类游戏遭黑客交易回滚攻击:据 PeckShield 态势感知平台12月12日数据显示：今晨05:57-08:27之间，黑客（helookitiqas）向EOS竞猜类游戏钓鱼高手(kittyfishing)发起攻击，在两个多小时内，共计发起91次攻击，总计获利558.85个EOS。该黑客账户（helookitiqas）在攻击得手后，将大部分所得资金转向币安交易所账号（binancecleos)。

PeckShield 安全人员分析发现，黑客是采用交易回滚攻击手段对游戏合约实施攻击。此外，另有两款竞猜类游戏也于今晨遭到了数十次同类型的攻击，损失数百个EOS，目前还有一款游戏合约尚未修复仍面临再次被攻击的风险。PeckShield 安全人员在此提醒：近日，交易回滚攻击形态仍在频繁出现，对EOS DApp游戏生态造成了严重的威胁，希望广大游戏开发者持续保持警惕。[2018/12/12]

而此次的攻击者(ha4tsojigyge)，在自己帐号部署的合约中包含了与游戏合约相同的操作函数，在转账完成后，自行开奖获得奖金。如图所示：

动态 | 竞猜类DApp安全形势严峻:11月6日，IMEOS.ONE联合百家媒体发布了“EOS平台-DApp生态数据分析报告”，报告指出，新进场用户携大量资金助推了竞猜类DApp的大火，但EOS竞猜类智能合约的安全形势极为严峻。钱包作为EOS的生态入口，繁荣了EOS DApp的发展。矿工产业对DApp项目方和EOS生态造成了深远影响，颠覆了此前区块链项目的运作方式，而矿工某种程度上甚至站立在DApp项目方和EOS用户的对立面。项目方利润被矿工和羊毛党瓜分，而Token持仓比例越集中，风险越大。[2018/11/7]

从图中可以看出，攻击者在自身合约的函数(pushck)中，内联调用了与游戏合约开奖同名的函数(check)，再通过通知(require_recipient)的方式将信息发送到了游戏合约。此时游戏合约的分发逻辑(apply)没有过滤掉此信息，并调用了开奖函数(check)。总之，攻击者利用了EOSIO系统中对调用合约自身函数不校验权限的漏洞，进而使用游戏合约(fastwindice3)的帐号权限发起内联调用，致使绕过游戏合约在敏感函数中校验调用者权限的方法(require_auth)，从而获取了游戏合约发放的奖励。修复方法从上述分析能够发现，攻击者合约的通知信息中，实际调用的合约是攻击者合约(ha4tsojigyge)，而非游戏合约(fastwindice3)，因此在游戏合约的分发逻辑(apply)中过滤掉此类信息即可。而且从系统定义的宏(EOSIO_ABI或者EOSIO_DISPATCH，如图四)中能够看到，分发逻辑处理了此问题。因此PeckShield在此提醒开发者在定制化自己的分发逻辑时，需要特别注意其中的调用来源。

深层次及兼容性问题需要强调的是：这个问题属于EOS公链层的较大漏洞，攻击者在内联调用中可以伪造任意帐号的权限执行，但这个修复可能会给部分开发者造成兼容性问题，如合约内联调用函数，而执行者帐号(actor)不是自己的时候，会导致整个交易(transaction)执行失败，如需解决兼容性问题请给合约赋予执行者帐号的eosio.code权限。

标签：EOSSHISHIELDELDSEOSshibdoge币有价值吗shield-xshTenzShield

Polygon热门资讯