EOS DApp 现新型交易排挤攻击及通用防御建议

据慢雾威胁情报分析系统分析，2019 年 1 月 11 日凌晨，EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法，为“交易排挤攻击”，这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。

攻击者首先是使用 loveforlover 发起正常的转账交易，然后使用另一个合约帐号检测中奖行为。如果不中奖，则发起大量的 defer 交易，将项目方的开奖交易“挤”到下一个区块中，此次攻击源于项目方的随机数算法使用了时间种子，使攻击者提升了中奖几率，导致攻击成功。

值得注意的是，在 1 月 13 日凌晨 2:40 左右，慢雾威胁情报系统再次捕获到类似攻击，攻击者通过部署攻击合约 sil******day，对知名的竞技类游戏 DApp FarmEOS 发起攻击，短短 7 分钟左右，通过 Dice 游戏，获利了 5000 多枚 EOS，并很快洗进交易所。其攻击手法与 EOS.WIN 遭受攻击的手法相同，攻击合约 sil******day 向 FarmEOS 下注后，并在攻击合约接收到 transfer 通知时，发起大量 defer 交易，使 FarmEOS 后续的开奖动作被延后。

慢雾安全团队已经第一时间将此次攻击情报同步给了目标交易所，同时建议所有的项目方和开发者不要在随机数算法内加入时间种子，防止被恶意攻击。而目前 FarmEOS Dice 也已经暂停。

这一次针对 EOS DApp 的新型攻击手法，慢雾安全团队给出几点通用防御建议对抗“交易排挤”等新型或未知攻击：

1. 随机数方案建议采用 EOS 官方推荐的随机数安全实践“Randomization in Contracts”；

2. 合约加上完备的风控机制，比如超过某些关键阈值自动暂停；

3. 对合约链上所有数据进行采集与建模，通过场景学习构建最合适的异常告警通知机制。

慢雾安全团队也在持续打磨针对 EOS DApp 威胁发现与威胁防御一套完整的 SaaS 服务，覆盖 DevSecOps 三大技术环节，既有针对开发人员的 EOS 智能合约最佳安全开发指南，也有针对运维人员的 EOS 天眼及 FireWall.X，整合形成链上链下安全治理一体化的联合防御体系，真正做到“威胁看得见，威胁防得住”。

EOS DApp 还处于 EOS 生态的相对早期的快速发展阶段，攻击者们早已将各种攻击手法自动化，这对所有 DApp 来说都是一个持续性挑战，安全是项目的底线，风控是安全的底线，希望更多力量参与进来，来自社区，回归社区，共同促进 EOS 生态的安全发展。

*备注：

Randomization in Contracts

https://developers.eos.io/eosio-cpp/docs/random-number-generation

EOS 智能合约最佳安全开发指南

https://github.com/slowmist/eos-smart-contract-security-best-practices

EOS 天眼

https://eos.slowmist.io

FireWall.X

https://firewallx.io

点击阅读原文可详细阅读 EOS 智能合约最佳安全开发指南。