被盜43次的EOS 這次還能持續“質疑、追捧、質疑”的死迴圈嗎?
據PeckShield平臺數據,近一個月內,已經有超5款EOS競猜類遊戲遭到了攻擊,攻擊原因大多和隨機數漏洞有關。分析認為,多個攻擊團隊在背後積極發現和利用漏洞,類似攻擊有可能會愈加頻繁,且他們的攻擊效率有逐漸提升的跡象。
自EOS主網上線以來,發展最快的就是DApp,在短短几個月時間內取得了飛速的發展。下半年以來,其日成交量、活躍度一度遙遙領先,這些都是遊戲的功勞。但“成也蕭何,敗也蕭何”,EOS上線以來因遊戲經歷了不斷質疑、追捧、質疑的迴圈。
十日內連遭兩次攻擊
開源遊戲EOSDice由於隨機數問題再次被黑,攻擊者是之前攻擊FFGame DApp的黑客,okcoin原始碼,攻擊手法也是由於使用了可控的隨機數種子。在本月8日,虛擬幣交易平臺原始碼,EOS競猜類遊戲FFgame遭遇了黑客攻擊,期貨交易系統開發,損失1331個EOS;本月4日,開源遊戲EOSDice發公告稱智慧合約遭到了攻擊,損失2545個EOS。
11月11日當日黑客向eos.win遊戲合約(eosluckydice)發起125次攻擊,獲利超9,180個EOS。據瞭解,黑客首先於10日晚實施了小額測試攻擊,在掌握攻擊方法後,便在11日採用多個關聯賬號實施快速攻擊,並迅速將非法所得資金轉至火幣交易所。此次攻擊事件為首的黑客(1supereosman)共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10餘個賬號實施攻擊,獲利後統一轉賬至1supereosman,最後將獲利7,530個EOS轉至Binance交易所賬號(binancecleos)。此外還有10餘個賬號參與攻擊獲利2,000餘EOS,暫未明確資金最終流向。根據當前EOS市場價格37元估算,此次攻擊給MyEosVegas遊戲帶來損失已超33萬元。
截至目前,EOS被盜的新聞已高達43起。 毫無疑問,黑客的“姿勢水平”還是蠻高的,甚至很有可能是多個組織共同犯罪,好在有ECAF這個EOS仲裁委員會在,減少了部分資產被盜後迅速轉移的情況,但是依然還有很多EOS被快速消費,洗錢等。
為什麼只有EOS經常被盜?
自今年5月以來,EOS屢遭負面新聞纏身。“史詩級”漏洞、百萬私鑰被盜、主網癱瘓……安全問題似乎已經成為了EOS很大的硬傷。而接連發生的EOS DApp安全攻擊事件,持續給EOS DApp生態安全敲響警鐘,也說明EOS競猜類遊戲機制還存在較大的設計缺陷。
EOS安全事件頻發的根源究竟是什麼?為什麼E0S被盜頻率如此高?
其一,其開發語言C/C++程式常會因為記憶體管理的複雜性而出現記憶體洩露、宕機或記憶體越界等問題,造成緩衝區溢位攻擊 ,這在大型工程上尤其常見。
其二,EOS宣佈上線後才開始讓各社群進行安全審計,打破了軟體開發工作流程上的“慣例”,而安全審計的滯後也為自身留下了隱患 。
其三,EOS引以為傲的DPOS共識機制同樣飽受逅病,21個“超級節點”驗證交易在提升交易速度、減少挖礦能耗同時亦暴露了21個超級節點,似乎更易遭到外部攻擊 。
其四,EOS沒有上線就能取得大量投資人的認可,得到超高的市值,必然會引起各方面的關注,其中也包括安全專家和黑客,因此係統更容易被爆出各種漏洞。
相關人士表示,目前EOS的開發人員並不多,成熟的開發者就更少了。很多情況下,一個DApp可能背後只有1-2個程式設計師,甚至連完整的測試人員都不存在。 在這種情況下,漏洞出現的可能性就非常大,更可能被攻擊。
360相關安全人員透露,在團隊提交漏洞並跟BM(EOS創始人)溝通時,發現他基本上不懂安全,對安全的認知比較差。
眾所周知,安全性問題是目前整個區塊鏈領域的短板,並非EOS獨有,但EOS持續此前以“打地鼠式”的漏洞修復模式,我們可以預見,未來必將面臨一場大規模利用EOS漏洞的黑客攻擊。
宣告:本文系九個億平臺原創文章,僅代表作者本人觀點。網站、APP等網際網路平臺用於長期商業目的內容轉載須同九個億簽訂《內容合作協議》,九個億保留對各平臺內容侵權之一切法律追訴權,“九個億”所刊載原創內容之智慧財產權均為“九個億”所有,歡迎各方轉載轉發!