【区块链安全周报】EOS DApp频繁遭黑客攻击,生态安全刻不容缓
摘要: 近日,黑客成功攻击了全球领先的网络分析平台StatCounter。黑客通过增加一串恶意代码来篡改分析平台使用的JavaScript 代码。通过攻击StatCounter平台,黑客就能在使用StatCounter的所有网站中注入JavaScript代码。
11月7日,北京链安讯,近日,黑客成功攻击了全球领先的网络分析平台StatCounter。黑客通过增加一串恶意代码来篡改分析平台使用的JavaScript 代码。通过攻击StatCounter平台,黑客就能在使用StatCounter的所有网站中注入JavaScript代码。据悉,该脚本statcounter.com/counter/counter.js 试图将比特币交易重定向到攻击者控制的几个钱包地址之一。
据研究人员发现,黑客此次攻击的主要目标是Gate.io。
另据不完全统计,除Gate.io之外,另外约有10个加密货币交易所也使用了StatCounter,很可能已经遭受攻击。由于攻击者使用多个帐户来接收被盗资金,尽管暂且未能确切统计被盗数量,但根据预估损失可能很大。据悉,目前已有超过68.8万个网站被发现加载了该恶意脚本。
11月8日,北京链安讯,EOS公链上又一款竞猜类游戏FFgame遭到黑客攻击,黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415)发起多达304次攻击,共计获利1,331.2922个EOS,随后将1,330个EOS转移到火币交易所。据悉,该黑客账户jk2uslllkjfd曾于11月4日凌晨攻击过另一款EOS竞猜类游戏EOSDice(eosbocai2222), 共获利2,545.1135个EOS,这两次攻击都是通过写合约代码计算出游戏中奖规律实施攻击。该黑客在每次攻击完成后都会立刻修改攻击合约,发送"hi"的垃圾数据用以掩饰攻击信息。另外,攻击所得EOS都是立刻转移到火币交易所。目前被攻击 FFgame(eoswallet415)账号余额里还有81.0105个EOS,并且攻击后合约没有更新,漏洞还未被修复。
11月9日,北京链安引述外媒报道,最近一起针对加密货币的病毒盗窃案是在受害者的电脑上使用Windows Installer MSI文件。据了解,恶意软件作为Windows Installer MSI文件到达受害者的计算机上,而WindowsInstaller原本是用于安装软件的合法应用程序,由于该恶意软件使用了真正的Windows组件,因而不易被察觉,并可绕过安全过滤器。研究人员指出,用户安装该恶意软件后,恶意软件目录将包含各种诱饵文件。这些诱骗密码的病毒依赖于Adobe Flash、政府网站、路由器和广告等程序的更新。除此之外,安装程序还附带有一个脚本,可以抵消在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖矿模块。研究人员还观察到,恶意软件具有内置的自毁机制,使用户无法检测其在后台的存在。它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。
据悉,其代理安装包使用了Cyrillic语言,这是许多加密挖矿病毒的默认脚本。
11月10日,据报道当日早8点至晚7点之间,黑客共计向MyEosVegas游戏合约(eosvegasjack)发起超700次攻击,已获利超9,000个EOS。此次攻击事件为首的黑客(1supereosman)共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10余个账号实施攻击,获利后统一转账至1supereosman,最后将获利7,530个EOS转至Binance交易所账号(binancecleos)。此外还有10余个账号参与攻击获利2,000余个EOS,暂未明确资金最终流向。根据EOS 市场时价37元估算,此次攻击给MyEosVegas游戏带来损失已超33万元。
而与此同时,当日上午黑客coinbasewa11向EOSDice游戏合约(eosbocai2222)发起了95次攻击,共计获利4,633.4827个EOS。据了解,该黑客账户coinbasewa11在实施攻击后,先将资金转移至另一账号coinbasewall,随后又将所得资金转向Bitfinex 交易所账号(bitfinexdep1)。根据EOS市场时价37元估算,黑客此次攻击获利超17万元。 此次EOSDice遭攻击原因同样是由于随机数问题被攻破。日前,EOSDice社区已经发出公告暂停游戏。
11月11日当日黑客向eos.win游戏合约(eosluckydice)发起125次攻击,获利超9,180个EOS。据了解,黑客首先于10日晚实施了小额测试攻击,在掌握攻击方法后,便在11日采用多个关联账号实施快速攻击,并迅速将非法所得资金转至火币交易所。 近一个月内,已经有超5款EOS竞猜类游戏遭到了攻击,攻击原因大多和随机数漏洞有关。
针对近来基于 EOS 的Luckyos、EOS.WIN、EOSRoyale、DEOSBET、FairDice、EOSDice、EOSFFgame 等一系列博彩游戏合约的攻击事件,北京链安安全专家 HardMan 分析表示,这些攻击均由 PRNG(pseudo-random number generator)安全问题引发。不安全的 PRNG 发生算法可以引发 PRN 大概率被攻击者预测。由于 EOS 开发生态中暂未提供类似于以太坊中的 Oracle 或者 RANDAO 这样的第三方扩展,因此北京链安提醒开发者,在合约设计时应谨慎使用下面四种类型的 PRNG,它们均可能引发相关安全问题:
1. 使用区块变量作为熵源的 PRNG;
2. 基于过往区块的区块哈希的 PRNG;
3. 基于过往区块和私有种子(seed)的区块哈希的 PRNG;
4. 易被抢占交易(front-running)的 PRNG。
(作者:北京链安,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?