内容简介:智能合约漏洞不断被挖掘、披露和扩散的同时,一些人在利用漏洞零散获益,另一些人在精心筹谋部署系统化、工程化的谋利。心有多大,舞台就有多大,于是他们成功演出智能合约史上最大规模的黑客攻击,震慑众人。8月17日,据安比(SECBIT)& AnChain.ai联合实验室发布消息称,BAPT-LW20黑客团伙发动史上最大规模攻击,利用Last Winner区块链游戏的空投漏洞,累计获利超13,000个ETH,价值约2600万人民币。
智能合约漏洞不断被挖掘、披露和扩散的同时,一些人在利用漏洞零散获益,另一些人在精心筹谋部署系统化、工程化的谋利。心有多大,舞台就有多大,于是他们成功演出智能合约史上最大规模的黑客攻击,震慑众人。
史上最大规模智能合约攻击“花落”Last Winner
8月17日,据安比(SECBIT)& AnChain.ai联合实验室发布消息称,BAPT-LW20黑客团伙发动史上最大规模攻击,利用Last Winner区块链游戏的空投漏洞,累计获利超13,000个ETH,价值约2600万人民币。
据悉,该黑客团队控制了5个地址,通过自动脚本,在不到一周的时间内,持续对Last Winner发动累计超过5万次攻击,不仅从游戏空投奖金池中获利5,194个ETH,更成功抢夺第一轮游戏的最后大奖7754.7ETH。
小葱注:BAPT-LW20 团队是由AnChain.ai 团队和安比(SECBIT)实验室命名,全称为Blockchain APT – Last Winner。
Last Winner:传销加持、闪电吸金、席卷以太坊网络的类FOMO3D游戏
Last Winner (以下简称 LW)是一款基于以太坊智能合约的 DApp 游戏,8 月 6 日凌晨上线,游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C,是一款类FOMO3D的区块链游戏,继承了FOMO3D的玩法,并有被广为传颂(传销)的多项“甜头”:
诱人的推广(拉下线)奖励;
FOMO3D中国区首款APP,简化了操作,降低了参与门槛;
相比原版FOMO3D,LW修改了空投游戏参数,使得空投奖励提高了10倍;
内置以太坊钱包基础功能,解决了大部分用户无法安装浏览器钱包插件问题;
游戏界面更美观,体验更流畅,玩法更刺激......
LW一经推出,就有大量资金涌入和玩家入场,短短几天就席卷了整个以太坊网络,8 月 8 日- 9 日,在LW 和 FOMO3D 超海量交易的共同作用下,以太坊未确认交易数创年内新高,平均 Gas 费用一度飙升至正常水平的10 倍以上。
来源:安比实验室
国人专属、传销加持
LW游戏传播速度极快,大小微信群和朋友圈皆被刷屏,且各大论坛、媒体、微信群内,皆可见到内容如出一辙、铺天盖地、传销味浓重的推广软文(如下图),不过英文资料极少,LW游戏似乎转为国人打造。
据区块律动调查发现,负责Last Winner推广运营的正是资金盘传销组织蚁群传播IAC/ADC,而该组织有广阔的人脉网和极强的推广(拉下线)能力,在LW游戏开始时就已经积攒了 2 万人参与注册,LW游戏开始 3 天之后就进行了超过 22 万次的交易量。
来源:区块律动
原版FOMO3D的开发团队也表示,LW背后的运营团队准备了 20 万 ETH 来进行自动刷量交易。因此,该游戏可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造游戏活跃假象,吸引不明所以的新用户入场。
闭源设计、疑点重重
此外,安全公司也一早就注意到LW的诸多安全疑点并发出告警。
8月7日,第三方大数据评级机构RatingToken安全审计团队公布,LW智能合约安全检测得分为2.90(满分5分),存在12个安全风险,合约安全系数较低。
据小葱APP 8月8日讯,安全公司PeckShield捕获到LW游戏合约地址的持续高频交易导致以太坊网络拥堵,并指出该游戏的代码尚未开源,存较大风险;
此外,安比实验室则更是先后在多篇分析文章中对LW提出诸多质疑:
未公开源代码,有违智能合约游戏或DApp公开透明的基本特点;
疑似直接拷贝了 FOMO3D 的源码,但新增了 10 余个可疑未知函数;
游戏合约存在大量非正常交易,且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大;
类FOMO3D游戏漏洞一脉相传:LW遭攻击实非偶然
7月6日,FOMO3D游戏合约上线,并迅速走红。7月23日,Reddit上有用户爆料 FOMO3D 存在空投漏洞,一天后,安比实验室和派盾(PeckShield)科技也分别发出预警:FOMO3D 游戏及所有抄袭源码的山寨合约皆存在随机数漏洞可被利用;原本设计上随机性较大的空投游戏可通过特殊手段操纵,极大提高中奖概率。
不过,在市场有所警觉前,黑客早有行动。经安比实验室事后调查,早在FOMO3D上线后的2天(7月8日),BAPT-LW10团队就最先成功利用原版 FOMO3D空投漏洞并获取奖励,几次调优后的攻击合约最高回报率可达90%,并先后攻击过原版FOMO3D、Last Winner 以及其他山寨版 FOMO3D游戏。
小葱注:BAPT-LW10团队由安比实验室命名,据安比调查,该团队的攻击合约地址正是热门游戏 Zethr 的八位核心开发者之一,代号“ Etherguy”。且安比实验室认为,从调用规模上看,Etherguy (BAPT-LW10) 主要还是出于游戏同行研究目的,并无太多获利。
可见,类FOMO3D游戏的安全短板早已暴露。而据安比实验室研究员p0n1称“LW游戏空投奖励代码与 FOMO3D 的相似度达 91%,极可能存在同样漏洞,频繁活跃的黑客不可能没注意到这一点”。
一脉相承的漏洞,丰硕的营销成果,出众的吸金能力,高额的空投奖励…...种种“过人事迹”都为后续LW游戏引来黑客攻击买下伏笔。
LW游戏最大赢家养成:不怪漏洞不够新,只怪黑客太认真
来源:安比实验室公众号
根据ANCHAIN.AI的区块链态势感知系统监测数据,安比实验室发现多个地址缠绕在LW游戏合约四周,且这些地址皆存在诸多类似而可疑的行为模式,当即预判黑客极可能是通过这些不明合约成功攫取LW内的以太币,于是展开了追踪。调查发现,BAPT-LW20 团队是通过创建智能合约对LW游戏合约进行攻击。 具体实施方案大致是 :
「先创建一个攻击合约,然后调用特定函数创建1000个新的代理合约,控制几个特定地址不断调用攻击合约,攻击合约再调用之前创建好的“符合某些条件的”代理合约,从而创建出新的子合约,并以子合约的身份参与 LW 游戏,购买游戏道具,进而获取空投奖励。」
该方案成功的关键,是要保证子合约满足空投条件且一定能够获利,而BAPT-LW20 团队通过疯狂创建代理合约达成了这一目的。受其控制的1000个代理合约地址被循环用于推算各个地址下一次新建的合约地址,而推演出的新地址正是空投游戏中奖数字的随机源,在筛选出符合条件的代理合约后再创建出新的子合约,然后发动攻击,如此可极大增加中奖概率。
据安比实验室透露,BAPT-LW20 团队对LW游戏发出的攻击交易几乎必定会获得空投奖励,回报率在12.5%至400%不等,意思是,黑客在攻击交易中投入0.1个ETH,即可换回0.125个-0.5个ETH不等。
其中,获利最大的是以0x820d地址为首的团队,该团队在短短6天时间内,共发送近5万笔交易,攫取 5194 个 Ether,获利价值将近 1200 万人民币。当然,达成上述功效的“作案手法”经历了多次实验、改进与优化。
小试牛刀:原版FOMO3D游戏充当“小白鼠”
0x820d地址可视作BAPT-LW20 团队的“领头羊”,它是所有攻击合约的部署者,在攻击LW游戏前,多次对原版FOMO3D及其他山寨游戏发起进攻,并对攻击方案进行调优。
0x820d地址最早活跃于7月20日,表现为收到来自 0x73B6地址转入的10个ETH,且0x820d随即部署了第一个合约,但兴许是未达预期,该合约未投入使用;
3分钟后,0x820d 部署了第二个合约,并对FOMO3D展开攻击,其间经历了一组准备工作设置、若干次失败的合约调用以及2次调用成功但零收益的尝试;此后的14个小时内,0x820d又相继部署了8 个合约试图优化并进行攻击测试,都以失败告终;
直到部署了合约 0xBad7,黑客才首次顺利完成攻击,以 0.1 ETH 的投入换回0.125ETH,7月21日-23 日三天内,该合约累计被调用11,551 次,可算小有所成。
7月23-24日两天内,0x820d部署了两个新的攻击合约,分别对FOMO3D山寨版游戏老鼠会 RatScam和一个名为 FOMOGame的山寨游戏发动了攻击,前者发动了2,299 次攻击,后者仅调用126次就停止了。
7月25-27日三天内,0x820d 又前后部署了 10 个新合约进行优化与攻击测试。并于7月26日上线新版攻击合约(0x5483),该合约实现了受攻击合约地址的可配置,因此 0x820d 在接下来的几天中,持续混合攻击 FOMO3D 原版、RatScam、FOMOGame 等游戏,累计发生23,835 笔交易,与此同时,攻击团队继续部署若干个新合约进行调优测试。
BAPT-LW20 团队在7月底对原版FOMO3D,RatScam以及FOMOGame展开的这一波混合攻击一方面进行了不同程度的攫利尝试,另一方面,也为其后续展开更大规模的攻击进行了充分演练。
训练有素:集中火力攻击LW游戏
8月6日,Last Winner 游戏上线。第二天,0x820d 团队就拿出“训练”已久的攻击合约(0x5483)发动攻击,在8月7日-11日四天内都集中火力持续利用LW的空投漏洞进攻。并在8月10日,0x820d 调用该攻击合约(0x5483)的withdraw接口,提走ETH余额,暂停了该合约的攻击。
与此同时,0x820d 团队又部署了新版攻击合约0x9C10,发起超过 30,000 笔交易,持续进行攻击。
据AnChain.ai 提供的BAPT-LW20团队攻击合约每小时攫取 ETH 数据,8月7号开始发起对LW的攻击,8 月 11 日左右停止。短短4天内,该合约平均攫取近100 ETH/小时,约22万人民币。
来源:安比实验室
伺机而动:终极大奖收入囊中
除空投奖励外,BAPT-LW20 团队还未放过LW的终极大奖。一边利用攻击合约获取空投奖励,一边监控LW游戏状态,并直接使用自身地址购买道具参与游戏,多次尝试夺取最终大奖。
8 月 17 日上午,LW游戏第一轮结束,终极大奖由BAPT-LW20 团队控制的五个地址之一(0x5167)获得, 奖金总额达7,754 以太币 。
来源:安比实验室
提走大奖之后,该团队又继续调用合约攻击 LW 游戏(如下图所示)。
来源:安比实验室
此外,从BAPT-LW20团队在LW游戏中的交易量占比和攫取到的ETH占比也可看出,其发送的交易量仅占总交易量的9.877%,却攫取了LW奖金池中49%的奖金,可以说 在获奖概率上吊打LW游戏的其他普通玩家。
来源:安比实验室
区块链安全界大底都会记住Last Winner这款游戏,不因其比FOM3D更有人气,而因其在随机性与公平性上遭受的巨大讽刺与精巧算计。
追击者的回首:斗智斗勇、紧张刺激
BAPT-LW20团队的攻击方案由安比实验室与AnChain.ai 团队率先合力揭发,并于8月17日发布《Last Winner 的最后赢家—智能合约超大规模黑客攻击手法曝光》长文,详细阐述了事件分析经过。
谈到 对本次智能合约攻击事件的评价 ,安比实验室创始人郭宇认为,短时间内完成获益如此巨大的攻击,主要在于BAPT-LW20团队 攻击方案的精巧设计和把控 ,体现在多个方面:
工程化水平高:从技术上看,黑客部署的攻击合约有极高的工程化水平,可多人调用,可协作攻击,能较好地分散权限与资金,同时降低出问题或暴露风险;
成功率可控:利用预先创建的代理合约提前推演和筛选符合空投奖励的合约,然后实施攻击,极大提高了攻击成功概率,减少无效攻击;
攻击目标可配:攻击目标对象可以作为参数传入,因此一早创建的攻击合约成为可复用的通用型武器,为其在 LW 游戏上线前进行攻击合约的调试优化创造了可能。
攻击成本可控:由于攻击目标可配,转换攻击目标的成本低廉;且攻击合约的Gas优化做到了极致,无论是创建代理合约、发起攻击、提前预判,交易Gas消耗都十分小,攻击成本低。
攻击时间精准:攻击时机的把握与攻击目标的选择,是该团队获如此高额收益的一大关键,由于事先训练好了攻击合约,在LW上线奖励池累积资金最旺时,集中火力发动持续攻击。
越精巧的攻击设计,追击还原越复杂和辛苦。根据安比实验室向小葱描述的整个追击过程,他们主要从 四个策略 上进行了分工协作。
「策略一」行为模式特点总结:行径可疑。
结合AnChain.ai 公司提供的态势感知数据,安比实验室首先对围绕在LW游戏合约附近的“常客”地址进行了分析,发现存在大量如出一撤的行为模式:1)持续往某合约地址上发起交易,并附带 0.1 个以太币;2)不少交易状态为失败;3)成功的交易皆涉及大量“内部交易”;4)“内部交易”调用逻辑十分复杂,并伴随大量合约的创建和自毁。
「策略二」可疑地址深度追踪:攫利明显。
鉴于前期发现大量交易,安比实验室迅速锁定几个关键地址,并进行深度追踪,分析其交易类型及交易流程,发现存在大量类似交易,且交易最终皆可获得超高回报率。
「策略三」合约部署历史回溯:攻击手法析出。
在大量高额回报的攻击交易中,锁定攻击合约的主要部署者,追踪其创建合约历史,分析各版本攻击合约调用情况,以及各版本的优化项。
「策略四」攻击合约动态监测:掌握新动向。
实时监测已锁定的可疑合约地址的动态进展,捕捉到BAPT-LW20团队拿走了LW游戏的终极大奖,并且部署了新的攻击合约,开始攻击一个新游戏。
安比实验室研究员p0n1在回顾本次LW游戏攻击事件分析过程时坦言:“整个过程既紧张又兴奋,一方面很钦佩这批黑客的智力、毅力以及信息收集能力,但另一方面也对愈演愈烈的智能合约安全态势表示忧虑, 原本类似的安全事件很多都可以避免的 。”
他向小葱表示,目前各山寨游戏项目方,一味在游戏运营上发力,严重缺乏智能合约安全意识。在FOMO3D的空投漏洞被多次报道之后,依旧原封不动抄袭源码,而未做任何安全改进,给黑客留下肆意掠夺游戏资产的机会。虽说游戏资产名义上不属于任何人,但游戏项目方的表现是对普通玩家不负责任。目前国内大多游戏参与者对此类空投漏洞知之甚少或漠不关心,面对黑客影响游戏规则毫无还击之力,只能坐以待毙。
小葱小结
哪里有财富,哪里就有觊觎财富的匪徒 。 在继各大中心化交易所攻击之后,黑客又寻到了侵夺数字货币财富更好的方式,把区块链游戏的薅羊毛发挥到极致。
区块链游戏的资金募集由智能合约完成而非中心化机构操控,交易数据上链可追溯且造假困难,相比于互联网时代的庞氏骗局,诸多玩家因看重该类游戏的公平性、透明性以及表面的高收益而放心下注,却往往忽略了一点,智能合约安全性始终是悬在区块链游戏上方的达摩克利斯之剑, 黑客从未放弃伺机攫利 ,他们 随时可能掀起一场攻击风浪,将区块链游戏那点“先天技术优势”抹杀得荡然无存 。
攻击者伸进各类区块链游戏的“魔爪 ”,不仅侵掠了普通游戏玩家的正当权益,还严重影响到此类游戏的公平性与生态平衡。且当攻击者们在地球上某个角落揭开香槟举杯欢庆时,丝毫无需忌惮来自任何国度、任何法律的制裁与追击,智能合约这片蛮荒之地上的安全保卫战,艰难而无序。
飞速发展的区块链技术被视作游戏行业发展的“新动能”。不过区块链游戏因其野蛮发展和狂热逐利,有一个不算良好的开端。游戏项目方在注重运营的同时,应当将游戏产品的安全性提上日程,加强与安全企业的合作,抢占先机突破安全瓶颈,在争议中进化和成熟,真正打开游戏行业破局新方向。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 35岁,程序员过不去的坎?
- 编程测试,程序员过不去的坎?
- 木兰编程语言重现:优先级,一个过不去的坎
- 智能合约攻击分析之庞氏代币合约漏洞
- 检测了3万多份智能合约,这份白皮书找到了9大智能合约安全漏洞(附下载链接)
- 智能合约工程
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。