客服QQ:872490018

EOS DApp 现新型交易排挤攻击及通用防御建议

EOS DApp 现新型交易排挤攻击及通用防御建议-碳链

据慢雾威胁情报分析系统分析,2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。

 

攻击者首先是使用 loveforlover 发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。

 

值得注意的是,在 1 月 13 日凌晨 2:40 左右,慢雾威胁情报系统再次捕获到类似攻击,攻击者通过部署攻击合约 sil******day,对知名的竞技类游戏 DApp FarmEOS 发起攻击,短短 7 分钟左右,通过 Dice 游戏,获利了 5000 多枚 EOS,并很快洗进交易所。其攻击手法与 EOS.WIN 遭受攻击的手法相同,攻击合约 sil******day 向 FarmEOS 下注后,并在攻击合约接收到 transfer 通知时,发起大量 defer 交易,使 FarmEOS 后续的开奖动作被延后。

 

慢雾安全团队已经第一时间将此次攻击情报同步给了目标交易所,同时建议所有的项目方和开发者不要在随机数算法内加入时间种子,防止被恶意攻击。而目前 FarmEOS Dice 也已经暂停。

 

这一次针对 EOS DApp 的新型攻击手法,慢雾安全团队给出几点通用防御建议对抗“交易排挤”等新型或未知攻击:

 

1. 随机数方案建议采用 EOS 官方推荐的随机数安全实践“Randomization in Contracts”;

2. 合约加上完备的风控机制,比如超过某些关键阈值自动暂停;

3. 对合约链上所有数据进行采集与建模,通过场景学习构建最合适的异常告警通知机制。

 

慢雾安全团队也在持续打磨针对 EOS DApp 威胁发现与威胁防御一套完整的 SaaS 服务,覆盖 DevSecOps 三大技术环节,既有针对开发人员的 EOS 智能合约最佳安全开发指南,也有针对运维人员的 EOS 天眼及 FireWall.X,整合形成链上链下安全治理一体化的联合防御体系,真正做到“威胁看得见,威胁防得住”。

EOS DApp 还处于 EOS 生态的相对早期的快速发展阶段,攻击者们早已将各种攻击手法自动化,这对所有 DApp 来说都是一个持续性挑战,安全是项目的底线,风控是安全的底线,希望更多力量参与进来,来自社区,回归社区,共同促进 EOS 生态的安全发展。

*备注:

Randomization in Contracts

https://developers.eos.io/eosio-cpp/docs/random-number-generation

EOS 智能合约最佳安全开发指南

https://github.com/slowmist/eos-smart-contract-security-best-practices

EOS 天眼

https://eos.slowmist.io

FireWall.X

https://firewallx.io

点击阅读原文可详细阅读 EOS 智能合约最佳安全开发指南。



EOS DApp 现新型交易排挤攻击及通用防御建议-碳链

慢雾媒体平台


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


币乎

https://bihu.com/people/586104


知识星球

https://t.zsxq.com/Q3zNvvF

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/3561.html
发表评论
坐等沙发
相关文章
烦立停:过度营销的孙宇晨输给了一个结石
烦立停:过度营销的孙宇晨输给了一个结石
除了USDT,还能用什么,传说中的“USDT暴雷”是否成真?
除了USDT,还能用什么,传说中的“USDT暴…
牛津级Token经济体系:落地应用进行时
牛津级Token经济体系:落地应用进行时
区块链安全入门笔记(六) | 慢雾科普
区块链安全入门笔记(六) | 慢雾科普
公开透明,慢雾智能合约安全审计证书开放查询
公开透明,慢雾智能合约安全审计证书开…
CFTC迎来新主席,他如何看待数字货币?
CFTC迎来新主席,他如何看待数字货币?
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    79

  • 评论

    0

广告赞助

复制代码