分布式账本固然难以篡改,但有安全漏洞的智能合约会以不同形式构成用户风险,这是区块链技术导入复杂应用必然需注意的关卡。
据区块链安全公司派盾 (PeckShield) 资料,12 日晨间在不到一分钟的时间内 EOS 博弈游戏 eos.win 的游戏智能合约受到一共 125 个骇客攻击,损失超过 9,180 个 EOS。
此前,11 月 7 日, EOS 游戏 FFgame 也遭客攻击。FFgame 游戏智能合约受到多达 304 次攻击,损失 1,331 个 EOS,骇客在当天将 1,330 个 EOS 转出至 Huobi。 11 月 4 日,骇客也攻击了另一个 EOS 游戏 EOSBETDice,总收益为 2,545 个 EOS。
据外媒报导,EOS 已在过去一个月有多于 5 个游戏型 dApp 遭骇。
竞猜类游戏漏洞
据了解,两次攻击都是通过编写合约代码来计算游戏的获胜规则发动的。
这一类受攻击的游戏属于竞猜类,是透过扑克牌、骰子产生随机数决定输赢以获取奖励的游戏。
据区块链生态安全公司慢雾科技表示,以 FFgame 被攻击事件为例,骇客是透过部署与 FFgame 中相同的随机数算法,产生随机数后立即在 inline_action 中使用随机数投注此游戏,导致中奖结果被“预测”到,从而达到超高中奖率。
简易来说,可以想像一个会开出“大”、“小”的骰子游戏,骇客复制此游戏随机产生结果的算法,并在该游戏实际跑出赌局结果前依照模拟的演算结果下注,借此大大提升中奖率。
慢雾科技警告 DApp 开发者应仔细核对自己的随机数种子和算法是否可被预测。以这些被攻击的前例来说,都是因为智能合约所有的随机数机制是有漏洞的,它产生的是“伪随机数”,也因此受到复制时很容易产生相同结果。
另一个区块链安全技术团队链安科技分析, FFgame 可能使用了和 EOSBETDice 类似的随机数生成算法从而导致游戏被攻击。
日前,美国东北大学和马里兰大学联合发表研究指出,智能合约重复性过高,恐对以太坊区块链生态系统构成威胁。因为具有缺陷的智能合约一旦遭攻破,其他引用相同或类似程式码的智能合约也可能相继受害。据研究统计,以太坊智能合约仅有不到 10% 的用户合约为原创,也因此智能合约安全会是区块链科技的一大要素。
图片来源:
- reno
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
