肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

栏目: 编程工具 · 发布时间: 5年前

内容简介:在《起底EOS DApp安全生态(上)》的分析中,PAData发现:去年下半年共有49起安全事件,共波及37个DApp;目前已有12种攻击EOS DApp的手法;

在《起底EOS DApp安全生态(上)》的分析中,PAData发现:

去年下半年共有49起安全事件,共波及37个DApp;

目前已有12种攻击EOS DApp的手法;

平均每15天出现一种新的攻击手法;

平均每周发生2次攻击;

黑客单次攻击最高获利80万美元;

EOS在目前DApp之争中遥遥领先,但也已成为黑客的沃土。尤其EOS通过抵押机制几乎消除了手续费,这让黑客攻击成了无本获利的买卖。黑客攻击与二级市场币价之间有着微妙关系。

“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”扫描式攻击,让所有DApp开发者胆战心惊,可能随时会在黑客面前“裸奔”。

无本获利

黑客攻击与币价的微妙关系

获利可能是黑客发起攻击的一个诱因。一般的操作方式是,黑客攻击得手后将获利直接转到交易所,然后立刻清合约离场。那么黑客的攻击行为和EOS代币在二级市场的行情是否有关呢?

PAData匹配了攻击发生当日CoinMarketCap上EOS的收盘价,并将当日收盘价分级量化。如果刚好等于当月收盘价的平均值,则记为3;如果高于当月收盘价的平均值,且低于当月收盘价的75%分位价,则记为4;如果等于或高于当月收盘价的75%分位价则记为5;反之,如果低于当月收盘价的平均值,且高于当月收盘价的25%分位价,则记为2;如果等于或低于当月收盘价的25%分位价则记为1。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

根据统计结果显示,攻击行为发生的频次与当月币价不构成统计相关。但从拟合的曲线来看,存在当币价越高时,黑客攻击越活跃的现象。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

比较微妙的地方在于攻击发生当日的收盘价与黑客所获的EOS数量之间的关系上。虽然当币价走高时,黑客攻击的次数可能会变多,但单次攻击得手的EOS数量却没有随之变多。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

必须要强调的是,这两者同样不构成统计相关。但从拟合的曲线来看,似乎呈现出了一条两端低、中间高的抛物线。这可能仅是一种巧合,如果大胆猜测,也可能折射出黑客的某种微妙心理。

这意味着,虽然发起攻击是一项无本获利的买卖,但面对二级市场行情起伏剧烈的加密货币,币价可能会对黑客的心理产生微妙的影响。当币价处于当月很低或很高水平时,黑客单次攻击得手的EOS数量反而较少,并没有因为币价高,黑客就多攻击多获得EOS。反而当币价接近当月平均值时,黑客会倾向通过单次攻击尽可能多的获得EOS。

这种关系很微妙,相当于不管币价高低,黑客都会攻击,但黑客单次攻击获得的收益(美元计算)是相对稳定的,不存在因为币价高,黑客获利就一定高的现象。

多起攻击系同一黑客所为

扫描式攻击 有黑客屡战屡胜

黑客紧盯着EOS DApp的漏洞,一旦发现,绝不对“轻饶”。PAData梳理数据发现,黑客已经出现了“团伙作案”和地毯式的攻击。他们的“探测器”对每个DApp进行全身扫描,不愿意放过任何一个获利机会。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

从上图的列表中能观察到一些有意思的黑客行为。比如黑客在破解随机数时,为了提高破解的概率,生成了一些列账号一起发起攻击,比如名为“fortopplayx1”、“fortopplayx2”、“fortopplayx3”、 “fortopplayx4”、“fortopplayx5”、“fortopplayxx”的系列账号在10月26日对EosRoyale发起的攻击那样。而且通常这些账号的命名是有规律的,比如“binaryfunxxx”、“xxxxcoinxxxx”(X表示随机生成)。

大多数黑客发起攻击的地址都是唯一的,这样可以最大程度做到匿名性,但名为“eykkxszdrnnc”的黑客分别对EOS MAX和EOS BigGame发起2次交易回滚攻击,黑客“jk2uslllkjfd”分别对EOSDICE和FFGame发起了2次随机数攻击。

关于黑客的行为偏好,PechShield EOS安全负责人施华国解释道:“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”

现在还有这样一种现象,由于现在的游戏,不管是新上线的游戏还是以前的游戏,都有各种各样的逻辑问题,所以“每上线一款新游戏的时候,就有黑客在尝试用扫描的方式去扫描漏洞,如果发现这个游戏有已知的漏洞,他就直接进行攻击了。”PeckShield安全团队发现这种情况确实还存在,也有黑客屡战屡胜。

而这些黑客账号背后还可能有更为复杂的关系。

PeckShield安全团队发现,去年12月多起竞猜类游戏攻击者是同一黑客所为。安全盾风控平台DAppShield通过持续黑名单库扫描和链上数据追踪发现,去年12月以来先后攻击过EOS竞猜游戏LuckBet、EOS Buff、ggeos等多个EOS竞猜游戏的4个黑客帐号之间存在关联,确定是同一黑客。数月以来,该黑客通过攻击各类EOS竞猜类游戏已经持续获利上万个EOS。

与互联网不同,即使不断“精进”的DApp黑客们却仅能专功一隅,EOS的攻击方法在其他公链并不适用。这也意味着,发生在EOS生态中的安全事件仅有十分有限的溢出效应。

“每个公链都是不同的,只能说有些攻击思路可以借鉴,但攻击手法不能完全复制。”所以PeckShield安全团队认为这些攻击手法对TRON或其他公链的影响是比较小的,而且鉴于其他公链目前的体量相比EOS还非常小,被黑客盯上的可能也会相应减小。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Perl入门经典

Perl入门经典

[美]Curtis "Ovid" Poe / 朱允刚、韩雷、叶斌 / 清华大学出版社 / 2013-9-20 / 78.00

作为最有影响力的编程语言之一,Perl被广泛用在Web开发、数据处理和系统管理中。无论是Perl新手,还是想要加强自己实战技能的Perl程序员,《Perl入门经典》都提供了处理日常情况所需的各种技术。凭借十多年的Perl经验,作者Curtis“Ovid”Poe一开始先简单回顾了Perl的基础知识,然后以此为出发点,举例说明了Perl在工作场所中的各种真实用法。此外,书中还包含了一些动手练习、宝贵建......一起来看看 《Perl入门经典》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

随机密码生成器
随机密码生成器

多种字符组合密码