12月18日晚間至19日凌晨,多個EOS頭部DAPP遭受攻擊。EOSMax、ToBet、BigGame和BetDice遭受交易回滾攻擊,分別損失55000EOS、22000EOS、14903.18EOS、200000EOS。此外,黑客利用重放攻擊漏洞向競猜類游戲TRUSTBET發起攻擊,獲利11501EOS。幾款游戲共損失303404.18EOS,以EOS單價18元來估算,合計約546萬元。遭受攻擊的幾款游戲基本為EOS頭部較活躍的競猜類游戲。據PeckShield報道,其中的競猜類游戲BetDice近一周日均活躍度超5,000人,交易額也在5,000萬EOS以上。PeckShield創始人蔣旭憲表示,這次攻擊背后是同一個團伙或個人。攻擊BetDice的賬號hnihpyadbunv創建了賬號eykkxszdrnnc,用來攻擊EOSMax與BigGame。賬號eykkxszdrnnc又創建了子賬號kfexzmckuhat用來攻擊ToBet。攻擊成功后,再頻繁創建子賬戶轉移所得資產。對于這次攻擊,蔣旭憲向Odaily星球日報表示,ECAF追回盜取的EOS預計難度比較大,目前已經牽涉到1808個賬戶,數量還在增長中。這次攻擊究竟是怎么回事兒?
DeFi收益平臺Texture完成500萬美元融資:金色財經報道,DeFi收益平臺Texture完成500萬美元融資,P2P Capital 和 Sino Global領投。Wintermute、Semantic Ventures 和 Jane Street Capital等參投,本次融資以穩定幣USDC籌集,據悉,Texture是一個運行在Solana鏈上的DeFi平臺,已進入內測階段,目標在年底前全面推出。[2022/11/4 12:17:57]
PeckShield安全人員認為,EOSMax、ToBet、BigGame和BetDice這四款競猜類游戲被攻擊事件,均和EOSNode存在漏洞有關。持有同樣看法的還有EOSMAX,據IMEOS.ONE報道,EOSMAX發布公告,稱是由于EOSNode存在漏洞導致,并非游戲合約存在漏洞。據業內不具名人士向Odaily星球日報透露,這次交易回滾攻擊與項目方的nodeos開啟了speculativemode有關,開發者需要關閉該mode來避免攻擊。對于這次交易回滾攻擊的具體過程,MEET.ONE的負責人Goh向Odaily星球日報表示,認為此次攻擊過程如下:1.黑客通過攻擊合約賬戶A向游戲合約B轉賬下注,游戲合約實時開獎,給賬戶A發放獎勵。2.游戲合約B使用的節點開始往EOS網絡同步這筆交易C。3.攻擊合約賬戶A執行assert,超級節點未打包交易C,所有節點回滾交易C。4.黑客獲得交易C的數據,如果下注勝利,正常執行交易C,如果失敗開始下一次攻擊。幣乎的“胖哥”分享了佳能和MYKEY技術團隊對本次回滾攻擊調查方式推演的一個推斷:攻擊方式是抓住了DAPP節點讀寫沒有分離的漏洞,黑客直接運用DAPP讀的節點去發送交易,那么該節點會最早執行合約邏輯計算DICE結果,如果黑客贏那就不做任何操作,等該節點廣播同步到塊節點就贏了。如果黑客輸了,黑客同時發送一筆轉賬操作到目前正出塊主節點,讓賬號余額不足以完成先前的那筆交易,那么先前的那筆交易就會被廢棄,那么黑客就不會輸了。綜上運用的方式還是傳統的方式:雙花!DAPP應該自查一下是否講讀寫分離以及讀節點設置成read-only。目前,據IMEOS.ONE報道,此前因遭受交易回滾攻擊而暫停運營的EOSMax,經過團隊調查、與BP商討解決方案,已經成功修復問題,目前已恢復服務。團隊將采用讀寫分離的方式來修復該問題,讀取采用read-only的節點,寫入采用另一個節點以規避回滾交易漏洞。此外,對于TRUSTBET遭受的重放攻擊漏洞,PeckShield安全人員認為這是一種最早出現于EOSDApp生態初期的攻擊形態,由于開發者設計的開獎隨機算法存在嚴重缺陷,使得攻擊者可利用合約漏洞重復開獎,是一種較低級的錯誤。業內人士怎么看?
幣安:計劃與驗證者聯系進行節點升級,具體時間暫未確定:10月7日消息,BNB Chain官方在社交媒體上發文表示,已要求BNB Chain節點驗證者在未來幾個小時內與其聯系,以便可以計劃進行節點升級。
對此,幣安創始人趙長鵬表示:“暫時無法給出具體的升級預計時間,幣安給開發人員時間來充分了解本次事件的根本原因,實施修復并進行深度測試,然后再繼續。”[2022/10/7 18:41:33]
對于這次攻擊,MEET.ONE的負責人Goh向Odaily星球日報表示,這已經不是EOS第一次被攻擊了,甚至攻擊的手法和發現的漏洞都不算有技術難度。只能說EOS生態發展地非常快,但項目的研發能力和安全能力相對滯后。對于EOS上的項目而言,生產環境就是最好的測試環境,不斷地遇到問題后需要不斷地迭代。”純白矩陣創始人吳嘯向Odaily星球日報表示,EOS的愿景是不錯的,但是需要更加穩定可能才更適合開發者。目前EOS的機制設計方面存在隱患,比如可以替換合約,對開發者的權限限制不足。此外,EOS還存在BP的反映時間長等問題。不過,最近EOS發布側鏈,BM又推出wasm解釋器、掃碼登錄PC端的Dapp,在安全方面會有所提升,會對EOS持續關注。對于這次攻擊,還有人從EOS生態的角度給出了觀點。DappReviewCEO牛鳳軒向Odaily星球日報表示,這是一起非常大的安全事故,但是從今天早上開始看到,節點和多個發生被攻擊的游戲項目方開始合作,研究如何解決問題。而且,BetDice還友好地提醒了自己的競爭對手。這些良性的行為對于EOS的生態建設很有幫助。我是Odaily星球日報的齊明,探索真實區塊鏈,日常喜歡和各路大神聊天。項目交流、爆料請加微信qingmoruoshui,煩請備注姓名、公司、職務。轉載/內容合作/報道聯系report@odaily.com;違規轉載法律必究。
美股小幅高開 道指漲0.28%:行情顯示,美股小幅高開,道指漲0.28%,納指漲0.1%,標普500指數漲0.24%。[2022/9/6 13:12:24]
Wormhole通過Immunefi平臺修復一高危漏洞,黑客獲1000萬美元獎勵:5月21日,據Immunefi官方消息,白帽黑客satya0x通過該平臺為跨鏈橋Wormhole檢舉出一高危漏洞,并因此獲得1000萬美元獎勵金,創下Immunefi平臺獲獎金額最高記錄。該漏洞很快得到修復,沒有用戶資金受到影響。[2022/5/21 3:32:04]
記者|遂心編輯|盧曉明寒冬之中,Grin挖礦群頗為火熱。Grin是一個前段時間在美國CryptoVC圈很火的項目,由于幾位中國炒家的加持,最近這種火熱已經蔓延到了中國.
1900/1/1 0:00:00二、熊市資產清理凸顯成本優勢本次Coinbase整理錢包屬于正常交易所定期更換地址行為,本次的拆分匯集整理資金都從遺留地址轉移到SegWit“bc1”地址,這種操作有效的降低了交易費用.
1900/1/1 0:00:00一場由比特幣價格“閃崩”引發的礦圈大關機已經發生。10天時間里,比特幣價格從6500美元,跌到了3652美元,看著那個像樓梯一樣一天一個臺階下降的K線圖,老礦工尤亮感慨,這波行情讓幣圈礦圈都很慘.
1900/1/1 0:00:00本月早些時候,超級賬本管理委員會批準了一個新的供應鏈項目,這標志著這個開源區塊鏈聯盟的一個重大轉變.
1900/1/1 0:00:0011月的比特幣現金分叉風波還沒完全平息,12月又要迎來小零幣的硬分叉。小零幣Zcoin官方宣布,隨著0.13.7.1版本的發布,Zcoin開始了切換POW算法至MTP的歷程.
1900/1/1 0:00:00本文來自:藍狐筆記,作者:Quantalysus,翻譯:HQ,星球日報經授權轉發。前言:互聯網在過去的二十多年來給我們帶來了深刻的變化,從信息獲取、電子商務、游戲、社交等全方面改變了人們的生活、.
1900/1/1 0:00:00