【区块链安全周报】EOS DApp频繁遭黑客攻击，生态安全刻不容缓

11月7日，北京链安讯，近日，黑客成功攻击了全球领先的网络分析平台StatCounter。黑客通过增加一串恶意代码来篡改分析平台使用的JavaScript 代码。通过攻击StatCounter平台，黑客就能在使用StatCounter的所有网站中注入JavaScript代码。据悉，该脚本statcounter.com/counter/counter.js 试图将比特币交易重定向到攻击者控制的几个钱包地址之一。

据研究人员发现，黑客此次攻击的主要目标是Gate.io。

另据不完全统计，除Gate.io之外，另外约有10个加密货币交易所也使用了StatCounter，很可能已经遭受攻击。由于攻击者使用多个帐户来接收被盗资金，尽管暂且未能确切统计被盗数量，但根据预估损失可能很大。据悉，目前已有超过68.8万个网站被发现加载了该恶意脚本。

11月8日，北京链安讯，EOS公链上又一款竞猜类游戏FFgame遭到黑客攻击，黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415）发起多达304次攻击，共计获利1,331.2922个EOS，随后将1,330个EOS转移到火币交易所。据悉，该黑客账户jk2uslllkjfd曾于11月4日凌晨攻击过另一款EOS竞猜类游戏EOSDice(eosbocai2222), 共获利2,545.1135个EOS，这两次攻击都是通过写合约代码计算出游戏中奖规律实施攻击。该黑客在每次攻击完成后都会立刻修改攻击合约，发送"hi"的垃圾数据用以掩饰攻击信息。另外，攻击所得EOS都是立刻转移到火币交易所。目前被攻击 FFgame（eoswallet415）账号余额里还有81.0105个EOS，并且攻击后合约没有更新，漏洞还未被修复。

11月9日，北京链安引述外媒报道，最近一起针对加密货币的病毒盗窃案是在受害者的电脑上使用Windows Installer MSI文件。据了解，恶意软件作为Windows Installer MSI文件到达受害者的计算机上，而WindowsInstaller原本是用于安装软件的合法应用程序，由于该恶意软件使用了真正的Windows组件，因而不易被察觉，并可绕过安全过滤器。研究人员指出，用户安装该恶意软件后，恶意软件目录将包含各种诱饵文件。这些诱骗密码的病毒依赖于Adobe Flash、政府网站、路由器和广告等程序的更新。除此之外，安装程序还附带有一个脚本，可以抵消在受害者电脑上运行的任何反恶意软件进程，以及受害者自己的加密货币挖矿模块。研究人员还观察到，恶意软件具有内置的自毁机制，使用户无法检测其在后台的存在。它会删除其安装目录下的每个文件，并删除系统中的任何安装痕迹。

据悉，其代理安装包使用了Cyrillic语言，这是许多加密挖矿病毒的默认脚本。

11月10日，据报道当日早8点至晚7点之间，黑客共计向MyEosVegas游戏合约（eosvegasjack）发起超700次攻击，已获利超9,000个EOS。此次攻击事件为首的黑客（1supereosman）共利用了aaaaasssss22、zhumeng15132、chenpj111111 等10余个账号实施攻击，获利后统一转账至1supereosman，最后将获利7,530个EOS转至Binance交易所账号（binancecleos)。此外还有10余个账号参与攻击获利2,000余个EOS，暂未明确资金最终流向。根据EOS 市场时价37元估算，此次攻击给MyEosVegas游戏带来损失已超33万元。

而与此同时，当日上午黑客coinbasewa11向EOSDice游戏合约（eosbocai2222）发起了95次攻击，共计获利4,633.4827个EOS。据了解，该黑客账户coinbasewa11在实施攻击后，先将资金转移至另一账号coinbasewall，随后又将所得资金转向Bitfinex 交易所账号（bitfinexdep1)。根据EOS市场时价37元估算，黑客此次攻击获利超17万元。 此次EOSDice遭攻击原因同样是由于随机数问题被攻破。日前，EOSDice社区已经发出公告暂停游戏。

11月11日当日黑客向eos.win游戏合约（eosluckydice）发起125次攻击，获利超9,180个EOS。据了解，黑客首先于10日晚实施了小额测试攻击，在掌握攻击方法后，便在11日采用多个关联账号实施快速攻击，并迅速将非法所得资金转至火币交易所。 近一个月内，已经有超5款EOS竞猜类游戏遭到了攻击，攻击原因大多和随机数漏洞有关。

针对近来基于 EOS 的Luckyos、EOS.WIN、EOSRoyale、DEOSBET、FairDice、EOSDice、EOSFFgame 等一系列博彩游戏合约的攻击事件，北京链安安全专家 HardMan 分析表示，这些攻击均由 PRNG（pseudo-random number generator）安全问题引发。不安全的 PRNG 发生算法可以引发 PRN 大概率被攻击者预测。由于 EOS 开发生态中暂未提供类似于以太坊中的 Oracle 或者 RANDAO 这样的第三方扩展，因此北京链安提醒开发者，在合约设计时应谨慎使用下面四种类型的 PRNG，它们均可能引发相关安全问题：

1. 使用区块变量作为熵源的 PRNG；

2. 基于过往区块的区块哈希的 PRNG；

3. 基于过往区块和私有种子（seed）的区块哈希的 PRNG；

4. 易被抢占交易（front-running）的 PRNG。

（作者：北京链安，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）