PeckShield是面向全球的业内顶尖区块链安全团队。
其原理是强制调用游戏合约transfer,由于游戏合约eoscastdmgb1没有对transfer的调用来源进行检测,黑客将假转账通知写进了transfer函数中。
针对此攻击事件,最初网上有声音认定其为“溢出攻击”,进一步分析发现,该攻击行为其实是黑客利用EOSBet合约在校验收款方时存在的漏洞——伪造转账通知。
事实上,这些问题如果持币者和开发者都具备一定安全认知的话,是可以被有效避免的。我们不妨来看看,这些容易被用户忽视的小问题,是如何酿成大灾难的呢?
English