SHIELD:竞猜类游戏 Fastwin 遭黑客攻击背后：Block.one 官方悄然做了重大更新

12月05日，新上线的又一款EOS竞猜类游戏Fastwin遭到黑客攻击，区块链安全公司PeckShield态势感知平台捕捉到了该攻击行为并率先进行了安全播报披露。数据显示，当天凌晨03:18—04:15之间，黑客向Fastwin游戏合约发起124次攻击，共计获利1,929.17个EOS。PeckShield安全人员分析发现，该攻击行为是黑客利用Fastwin的合约在校验合约调用方时存在的漏洞，导致「内联反射」攻击成功。

据研究，截止11月底，已经发生了超27起EOSDApp安全事件，主要集中在假EOS攻击、随机数问题等攻击方式，且在不断升级演变。而这次看似较小的攻击事件背后却暴露出了一个较以往危害性可能更大的新型漏洞：EOSIO官方系统对调用合约自身函数存在不校验权限的问题。

动态 | 竞猜类游戏BitDice遭黑客假EOS攻击:今天早晨06:40-06:50之间，PeckShield安全盾风控平台DAppShield监测到黑客向竞猜类游戏BitDice发起连续攻击，获利四千多EOS，并已转至EXMO、ChangeNOW等多家交易所。PeckShield安全人员追踪链上数据分析发现，黑客采用的是“假EOS”攻击手段。PeckShield安全人员在此提醒，开发者应在合约上线前做好安全测试，特别是要排除已知攻击手段的威胁，必要时可寻求第三方安全公司协助，帮助其完成合约上线前攻击测试及基础安全防御部署。[2019/10/12]

图一，PeckShield与Block.one邮件沟通

动态 | 黑客攻击EOS竞猜类游戏?已获利数百EOS ?:Beosin（成都链安）预警：今天下午15:27-15:44之间，根据成都链安区块链安全态势感知系统Beosin-Eagle?Eye检测发现，黑客co****op向EOS竞猜类游戏合约xlo*****io发起连续攻击，已经获利数百EOS。经过成都链安技术团队初步分析，攻击者通过直接调用transfer方式，利用游戏合约逻辑缺陷，多个账号协同实施攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性，同时呼吁游戏项目方在项目上链前进行完善的代码安全审计，必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/6]

PeckShield认为这是一个非常严重的漏洞，并第一时间通知了Block.one团队。Block.one官方团队接受了该漏洞提议，并告知我们有其他研究团队也事先独立汇报了该漏洞，最终于周四更新了紧急补丁以补救防御，同时次日新发布1.5.1和1.4.5两个版本，完成了该漏洞修复，避免了更多攻击事件的发生及可能造成的资产损失。

分析 | EOS CPU资源吃紧 竞猜类TOP10游戏消耗全网CPU资源84.15%:随着DApp应用的爆发式增长，EOS主网一直存在CPU资源使用紧张的状况，使得CPU抵押价格存在较大幅度的波动。据 DAppTotal 数据显示，12月12日(昨天)EOS上的CPU资源消耗排行前十的DApp分别为：BetDice、EOS Max、Fastwin、MyEosVegas、ToBet、Fishjoy、EOSJacks、Endless Dice、BIG GAME、BLACKJACK - EOS Poker。其中排名第1位的BetDice CPU消耗量达到了2,345,147.01ms，占全网CPU总消耗的32.32%，Top 10 DApps消耗的CPU占据了全网CPU资源的84.15%，且全部都是竞猜类DApp游戏。受此影响，昨天的CPU抵押价格最高达到了3个EOS每毫秒，意味着玩家玩一次游戏约需要抵押4个EOS（以BetDice为例）。

不难看出，现有CPU资源的上限，可能会成为制约更大规模DApps应用普及的一大因素，DApp开发者需要注意优化CPU资源使用。此前因DApp导致的CPU资源紧张问题，EOS主网已经进行了3次上限调整，最新CPU资源为初始值10%的2.5倍。[2018/12/13]

「内联反射(inlineReflex)」攻击原理

正常的转账流程如图所示：玩家通过调用系统合约(eosio.token)，将EOS转账给游戏合约，触发游戏合约的分发逻辑(apply)，进而调用相关函数实现开奖。

图二，竞猜游戏正常转账流程

而此次的攻击者(ha4tsojigyge)，在自己帐号部署的合约中包含了与游戏合约相同的操作函数，在转账完成后，自行开奖获得奖金。如图所示：

图三，攻击者内联调用自身合约开奖

从图中可以看出，攻击者在自身合约的函数中，内联调用了与游戏合约开奖同名的函数，再通过通知的方式将信息发送到了游戏合约。此时游戏合约的分发逻辑没有过滤掉此信息，并调用了开奖函数。

总之，攻击者利用了EOSIO系统中对调用合约自身函数不校验权限的漏洞，进而使用游戏合约的帐号权限发起内联调用，致使绕过游戏合约在敏感函数中校验调用者权限的方法，从而获取了游戏合约发放的奖励。

修复方法

从上述分析能够发现，攻击者合约的通知信息中，实际调用的合约是攻击者合约，而非游戏合约，因此在游戏合约的分发逻辑中过滤掉此类信息即可。而且从系统定义的宏中能够看到，分发逻辑处理了此问题。因此PeckShield在此提醒开发者在定制化自己的分发逻辑时，需要特别注意其中的调用来源。

图四，系统EOSIO_DISPATCH代码

深层次及兼容性问题

需要强调的是：这个问题属于EOS公链层的较大漏洞，攻击者在内联调用中可以伪造任意帐号的权限执行，但这个修复可能会给部分开发者造成兼容性问题，如合约内联调用函数，而执行者帐号不是自己的时候，会导致整个交易执行失败，如需解决兼容性问题请给合约赋予执行者帐号的eosio.code权限。

本文来源于非小号媒体平台：

PeckShield

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627092.html

游戏链游

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

区块链如何助力数据共享隐私保护？

标签：EOSSHIELDELDSHIEOS Royale0xShieldYieldwatchESHIB币

以太坊交易热门资讯