No.3
眾多EOS DApp遭遇交易排擠攻擊
發生日期:2019 年 1 月開始事件描述:
2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻擊。EOS.WIN 的攻擊者采用的是新型攻擊手法,為“交易排擠攻擊”,這種攻擊手法與之前攻擊 bocai.game 的攻擊手法為同一種攻擊手法。攻擊者首先是發起正常的轉賬交易,然后使用另一個合約帳號檢測中獎行為。如果不中獎,則發起大量的 defer 交易,將項目方的開獎交易“擠”到下一個區塊中。該類攻擊源于項目方的隨機數算法使用了時間種子,使攻擊者提升了中獎幾率,導致攻擊成功。
慢霧觀點
區塊鏈上沒有完美的隨機數方案,只要是采用鏈上的變量作為隨機數因子,都存在被黑客攻破的可能。建議開發者采用 EOS 官方推薦的隨機數安全實踐“Randomization in Contracts”,或者引入預言機。同時在合約設計時加上風控機制,比如獎池大額轉出超過某個閾值自動暫停。
版權申明:本內容來自于互聯網,屬第三方匯集推薦平臺。本文的版權歸原作者所有,文章言論不代表鏈門戶的觀點,鏈門戶不承擔任何法律責任。如有侵權請聯系QQ:3341927519進行反饋。
