据慢雾威胁情报分析系统分析,2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。
攻击者首先是使用 loveforlover 发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中,此次攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。
值得注意的是,在 1 月 13 日凌晨 2:40 左右,慢雾威胁情报系统再次捕获到类似攻击,攻击者通过部署攻击合约 sil******day,对知名的竞技类游戏 DApp FarmEOS 发起攻击,短短 7 分钟左右,通过 Dice 游戏,获利了 5000 多枚 EOS,并很快洗进交易所。其攻击手法与 EOS.WIN 遭受攻击的手法相同,攻击合约 sil******day 向 FarmEOS 下注后,并在攻击合约接收到 transfer 通知时,发起大量 defer 交易,使 FarmEOS 后续的开奖动作被延后。
慢雾安全团队已经第一时间将此次攻击情报同步给了目标交易所,同时建议所有的项目方和开发者不要在随机数算法内加入时间种子,防止被恶意攻击。而目前 FarmEOS Dice 也已经暂停。
这一次针对 EOS DApp 的新型攻击手法,慢雾安全团队给出几点通用防御建议对抗“交易排挤”等新型或未知攻击:
1. 随机数方案建议采用 EOS 官方推荐的随机数安全实践“Randomization in Contracts”;
2. 合约加上完备的风控机制,比如超过某些关键阈值自动暂停;
3. 对合约链上所有数据进行采集与建模,通过场景学习构建最合适的异常告警通知机制。
慢雾安全团队也在持续打磨针对 EOS DApp 威胁发现与威胁防御一套完整的 SaaS 服务,覆盖 DevSecOps 三大技术环节,既有针对开发人员的 EOS 智能合约最佳安全开发指南,也有针对运维人员的 EOS 天眼及 FireWall.X,整合形成链上链下安全治理一体化的联合防御体系,真正做到“威胁看得见,威胁防得住”。
EOS DApp 还处于 EOS 生态的相对早期的快速发展阶段,攻击者们早已将各种攻击手法自动化,这对所有 DApp 来说都是一个持续性挑战,安全是项目的底线,风控是安全的底线,希望更多力量参与进来,来自社区,回归社区,共同促进 EOS 生态的安全发展。