近日,EOS公链频繁爆出安全问题,黑客攻击者利用多种巧妙的手段去攻击部署在EOS上的区块链游戏,由于众多开发者的“风控”能力较低,从而使得黑客可以轻松将账户系统中的资金转走。
一时间,关于EOS DApp生态安全问题的讨论甚嚣尘上。链得得发现,此次在EOS公链上爆发的安全问题依然集中在竞猜博彩类游戏项目上。而对于EOS公链来说,博彩类游戏遭到的攻击已经完全影响到EOS整个网络的安全,因为博彩类游戏在EOS公链中贡献了90%以上的交易量。
黑客攻击回顾
首先,我们先来回顾一下近日在EOS公链上陆续爆出的黑客攻击事件。
10月15日午间,知名EOS公链博彩游戏平台EOSBet遭遇恶意攻击,损失巨额EOS。安全公司PeckShield分析发现,黑客利用EOSBet合约在检验收款方时存在的漏洞“伪造转账通知”,从EOSBet合约eosbetdice11中获利138,319.7995EOS。更可怕的是,在EOSBet上线十天内就遭到了3次攻击。
10月31日凌晨,EOSCast游戏遭到黑客连续9次的强势攻击,7万多EOS被黑客转走。黑客这次主要采取了一种“假EOS”的攻击手段,可理解为,黑客创建了一种基于EOS的代币,并将其命名为“EOS”,开始大量给被攻击合约账号转账假EOS代币,由于合约没有检测EOS的发行方,误把“假EOS”转账视为真的,进而调用了合约中的transfer函数,按照开奖流程分配了奖金。
11月8日凌晨1点,EOS公链上又一款竞猜类游戏FFgame遭遇了黑客攻击,黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415)发起多达304次攻击,共计获利1,331.2922个EOS。这次攻击主要是通过“写合约代码计算出游戏中奖规律”实施攻击。
10月10日,EOS竞猜游戏EOSDice再遭黑客攻击,损失4,633个EOS。此次EOSDice遭攻击原因同样是由于“随机数问题被攻破”。11日早,DApp EOS.WIN 也被攻击者(lockonthecha)攻破。
安全公司PeckShield安全专家华南告诉链得得,“假通知”、“假EOS”对于开发者来说是很低级的错误。抛开这些涉及金额较大的黑客攻击事件,在10月份,黑客利用不同的账户在一直侵袭着EOS公链。直到10月15日,博彩游戏EOSBet被黑客盗走14万EOS后,才逐渐引起市场关注。而在此之后,黑客玩法不断变化,针对EOS的攻击手段愈加猖獗。而在近一个月内,已经先后有超5款EOS竞猜类游戏遭到了攻击。
EOS沦为“博彩”公链
关于EOS的安全问题,在主网上线前就被安全公司360揪出“史诗级漏洞”,在后来的运行中,受之于用户对于EOS公链此前大肆宣传和现实使用中的落差,EOS在这半年的运行可以概括为“不温不火”。之后是在9月份,以太坊网络中一款叫做“Fomo3D”的资金盘游戏开启吸金模式,从用户关注度到以太坊的资金流量,都围绕在了这款游戏上。不出意外的是,当时因巨额奖池的诱惑,黑客选手也将魔爪伸了进来,大奖空投遭黑客疯狂盗取。
随后因安全问题频发,玩家热情逐渐消退,以太坊博彩类游戏重归于寂静。但是在一个月后,EOS平台上复制出现的竞猜、博彩类游戏同样在复制着以太坊“受害者”角色,资金游戏的运行终究没有逃出黑客选手的关注,黑客开始频繁袭扰EOS。链得得发现,黑客的突然出现与DApp的活跃情况保持着高度的相关性。
据DappReview显示,截至11月11日,EOS公链中运行着158款DApp,其中“抽奖”类别的DApp有77款。如果按“24h成交额”升序发现,前50名中99%是抽奖类游戏。而对比以太坊,就可以更直观看到黑客为何在EOS公链上这么活跃。
EOS与以太坊DApp对比图(抽奖类)
链得得统计发现,同样是“抽奖”类游戏,以太坊无论是从日活还是当日成交额来看,都完败于EOS。甚至于在以太坊活跃的前十大DApp,日活人数都不及EOS的其中一个DApp。从另一个维度对比发现,以太坊上共有1272款DApp,将近10倍于EOS公链,但是EOS的平均日活和成交量却10倍于以太坊,而博彩竞猜类游戏贡献着90%以上的交易额。可以说,EOS公链已经沦落为一条“博彩”公链。
PeckShield华南告诉链得得,过去Fomo3D所在的以太坊公链交易频次低,而且由于以太坊本身的架构就决定了其每次交易都需要去消耗一定的Gas费。但EOS网络不需要交易费用,在一定程度上促进了游戏开发者迅速转身到EOS平台上来。
链得得通过DAppRadar查询发现,不同于此前一直由“博彩类”占据交易额前列的情况,以太坊排名靠前的应用已经逐渐由“交易所”所代替。
华南补充道,无论是以太坊还是EOS,高匿名性的特征给到了作恶非常大的优势。此外,由于EOS主网在6月15日才正式启动,对于游戏开发者来说,编码、语言和框架等诸多因素都是新的事物,难免会犯一些非常低级的错误。“之前有一些游戏,甚至用了错误的开源代码。”
华南提醒开发者,建议参考官方开发文档以避免低级错误;此外,对于所有的产品在上线前都需要找安全审计公司进行审计,把安全风险降到最低。而对于所有博彩类游戏来讲,一个稳定的安全风控系统或是自动预警系统是不可少的,要保证在黑客攻击过程中及时止损。(本文独家首发链得得App)
本文源自链得得
更多精彩资讯,请来金融界网站(www.jrj.com.cn)