近日,EOS公鏈頻繁爆出安全問題,黑客攻擊者利用多種巧妙的手段去攻擊部署在EOS上的區塊鏈遊戲,由於眾多開發者的“風控”能力較低,從而使得黑客可以輕鬆將賬戶系統中的資金轉走。
一時間,關於EOS DApp生態安全問題的討論甚囂塵上。鏈得得發現,此次在EOS公鏈上爆發的安全問題依然集中在競猜博彩類遊戲項目上。而對於EOS公鏈來說,博彩類遊戲遭到的攻擊已經完全影響到EOS整個網絡的安全,因為博彩類遊戲在EOS公鏈中貢獻了90%以上的交易量。
黑客攻擊回顧
首先,我們先來回顧一下近日在EOS公鏈上陸續爆出的黑客攻擊事件。
10月15日午間,知名EOS公鏈博彩遊戲平臺EOSBet遭遇惡意攻擊,損失鉅額EOS。安全公司PeckShield分析發現,黑客利用EOSBet合約在檢驗收款方時存在的漏洞“偽造轉賬通知”,從EOSBet合約eosbetdice11中獲利138,319.7995EOS。更可怕的是,在EOSBet上線十天內就遭到了3次攻擊。
10月31日凌晨,EOSCast遊戲遭到黑客連續9次的強勢攻擊,7萬多EOS被黑客轉走。黑客這次主要採取了一種“假EOS”的攻擊手段,可理解為,黑客創建了一種基於EOS的代幣,並將其命名為“EOS”,開始大量給被攻擊合約賬號轉賬假EOS代幣,由於合約沒有檢測EOS的發行方,誤把“假EOS”轉賬視為真的,進而調用了合約中的transfer函數,按照開獎流程分配了獎金。
11月8日凌晨1點,EOS公鏈上又一款競猜類遊戲FFgame遭遇了黑客攻擊,黑客賬戶jk2uslllkjfd向FFgame遊戲合約 (eoswallet415)發起多達304次攻擊,共計獲利1,331.2922個EOS。這次攻擊主要是通過“寫合約代碼計算出遊戲中獎規律”實施攻擊。
10月10日,EOS競猜遊戲EOSDice再遭黑客攻擊,損失4,633個EOS。此次EOSDice遭攻擊原因同樣是由於“隨機數問題被攻破”。11日早,DApp EOS.WIN 也被攻擊者(lockonthecha)攻破。
安全公司PeckShield安全專家華南告訴鏈得得,“假通知”、“假EOS”對於開發者來說是很低級的錯誤。拋開這些涉及金額較大的黑客攻擊事件,在10月份,黑客利用不同的賬戶在一直侵襲著EOS公鏈。直到10月15日,博彩遊戲EOSBet被黑客盜走14萬EOS後,才逐漸引起市場關注。而在此之後,黑客玩法不斷變化,針對EOS的攻擊手段愈加猖獗。而在近一個月內,已經先後有超5款EOS競猜類遊戲遭到了攻擊。
EOS淪為“博彩”公鏈
關於EOS的安全問題,在主網上線前就被安全公司360揪出“史詩級漏洞”,在後來的運行中,受之於用戶對於EOS公鏈此前大肆宣傳和現實使用中的落差,EOS在這半年的運行可以概括為“不溫不火”。之後是在9月份,以太坊網絡中一款叫做“Fomo3D”的資金盤遊戲開啟吸金模式,從用戶關注度到以太坊的資金流量,都圍繞在了這款遊戲上。不出意外的是,當時因鉅額獎池的誘惑,黑客選手也將魔爪伸了進來,大獎空投遭黑客瘋狂盜取。
隨後因安全問題頻發,玩家熱情逐漸消退,以太坊博彩類遊戲重歸於寂靜。但是在一個月後,EOS平臺上覆製出現的競猜、博彩類遊戲同樣在複製著以太坊“受害者”角色,資金遊戲的運行終究沒有逃出黑客選手的關注,黑客開始頻繁襲擾EOS。鏈得得發現,黑客的突然出現與DApp的活躍情況保持著高度的相關性。
據DappReview顯示,截至11月11日,EOS公鏈中運行著158款DApp,其中“抽獎”類別的DApp有77款。如果按“24h成交額”升序發現,前50名中99%是抽獎類遊戲。而對比以太坊,就可以更直觀看到黑客為何在EOS公鏈上這麼活躍。
EOS與以太坊DApp對比圖(抽獎類)
鏈得得統計發現,同樣是“抽獎”類遊戲,以太坊無論是從日活還是當日成交額來看,都完敗於EOS。甚至於在以太坊活躍的前十大DApp,日活人數都不及EOS的其中一個DApp。從另一個維度對比發現,以太坊上共有1272款DApp,將近10倍於EOS公鏈,但是EOS的平均日活和成交量卻10倍於以太坊,而博彩競猜類遊戲貢獻著90%以上的交易額。可以說,EOS公鏈已經淪落為一條“博彩”公鏈。
PeckShield華南告訴鏈得得,過去Fomo3D所在的以太坊公鏈交易頻次低,而且由於以太坊本身的架構就決定了其每次交易都需要去消耗一定的Gas費。但EOS網絡不需要交易費用,在一定程度上促進了遊戲開發者迅速轉身到EOS平臺上來。
鏈得得通過DAppRadar查詢發現,不同於此前一直由“博彩類”佔據交易額前列的情況,以太坊排名靠前的應用已經逐漸由“交易所”所代替。
華南補充道,無論是以太坊還是EOS,高匿名性的特徵給到了作惡非常大的優勢。此外,由於EOS主網在6月15日才正式啟動,對於遊戲開發者來說,編碼、語言和框架等諸多因素都是新的事物,難免會犯一些非常低級的錯誤。“之前有一些遊戲,甚至用了錯誤的開源代碼。”
華南提醒開發者,建議參考官方開發文檔以避免低級錯誤;此外,對於所有的產品在上線前都需要找安全審計公司進行審計,把安全風險降到最低。而對於所有博彩類遊戲來講,一個穩定的安全風控系統或是自動預警系統是不可少的,要保證在黑客攻擊過程中及時止損。(本文獨家首發鏈得得App)
閱讀更多 鏈得得APP 的文章
