肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

在《起底EOS DApp安全生态(上)》的分析中,PAData发现:

去年下半年共有49起安全事件,共波及37个DApp;

目前已有12种攻击EOS DApp的手法;

平均每15天出现一种新的攻击手法;

平均每周发生2次攻击;

黑客单次攻击最高获利80万美元;

EOS在目前DApp之争中遥遥领先,但也已成为黑客的沃土。尤其EOS通过抵押机制几乎消除了手续费,这让黑客攻击成了无本获利的买卖。黑客攻击与二级市场币价之间有着微妙关系。

“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”扫描式攻击,让所有DApp开发者胆战心惊,可能随时会在黑客面前“裸奔”。

无本获利

黑客攻击与币价的微妙关系

获利可能是黑客发起攻击的一个诱因。一般的操作方式是,黑客攻击得手后将获利直接转到交易所,然后立刻清合约离场。那么黑客的攻击行为和EOS代币在二级市场的行情是否有关呢?

PAData匹配了攻击发生当日CoinMarketCap上EOS的收盘价,并将当日收盘价分级量化。如果刚好等于当月收盘价的平均值,则记为3;如果高于当月收盘价的平均值,且低于当月收盘价的75%分位价,则记为4;如果等于或高于当月收盘价的75%分位价则记为5;反之,如果低于当月收盘价的平均值,且高于当月收盘价的25%分位价,则记为2;如果等于或低于当月收盘价的25%分位价则记为1。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

根据统计结果显示,攻击行为发生的频次与当月币价不构成统计相关。但从拟合的曲线来看,存在当币价越高时,黑客攻击越活跃的现象。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

比较微妙的地方在于攻击发生当日的收盘价与黑客所获的EOS数量之间的关系上。虽然当币价走高时,黑客攻击的次数可能会变多,但单次攻击得手的EOS数量却没有随之变多。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

必须要强调的是,这两者同样不构成统计相关。但从拟合的曲线来看,似乎呈现出了一条两端低、中间高的抛物线。这可能仅是一种巧合,如果大胆猜测,也可能折射出黑客的某种微妙心理。

这意味着,虽然发起攻击是一项无本获利的买卖,但面对二级市场行情起伏剧烈的加密货币,币价可能会对黑客的心理产生微妙的影响。当币价处于当月很低或很高水平时,黑客单次攻击得手的EOS数量反而较少,并没有因为币价高,黑客就多攻击多获得EOS。反而当币价接近当月平均值时,黑客会倾向通过单次攻击尽可能多的获得EOS。

这种关系很微妙,相当于不管币价高低,黑客都会攻击,但黑客单次攻击获得的收益(美元计算)是相对稳定的,不存在因为币价高,黑客获利就一定高的现象。

多起攻击系同一黑客所为

扫描式攻击 有黑客屡战屡胜

黑客紧盯着EOS DApp的漏洞,一旦发现,绝不对“轻饶”。PAData梳理数据发现,黑客已经出现了“团伙作案”和地毯式的攻击。他们的“探测器”对每个DApp进行全身扫描,不愿意放过任何一个获利机会。

肆虐的黑客羊毛党:起底EOS DApp安全生态(下)

从上图的列表中能观察到一些有意思的黑客行为。比如黑客在破解随机数时,为了提高破解的概率,生成了一些列账号一起发起攻击,比如名为“fortopplayx1”、“fortopplayx2”、“fortopplayx3”、 “fortopplayx4”、“fortopplayx5”、“fortopplayxx”的系列账号在10月26日对EosRoyale发起的攻击那样。而且通常这些账号的命名是有规律的,比如“binaryfunxxx”、“xxxxcoinxxxx”(X表示随机生成)。

大多数黑客发起攻击的地址都是唯一的,这样可以最大程度做到匿名性,但名为“eykkxszdrnnc”的黑客分别对EOS MAX和EOS BigGame发起2次交易回滚攻击,黑客“jk2uslllkjfd”分别对EOSDICE和FFGame发起了2次随机数攻击。

关于黑客的行为偏好,PechShield EOS安全负责人施华国解释道:“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”

现在还有这样一种现象,由于现在的游戏,不管是新上线的游戏还是以前的游戏,都有各种各样的逻辑问题,所以“每上线一款新游戏的时候,就有黑客在尝试用扫描的方式去扫描漏洞,如果发现这个游戏有已知的漏洞,他就直接进行攻击了。”PeckShield安全团队发现这种情况确实还存在,也有黑客屡战屡胜。

而这些黑客账号背后还可能有更为复杂的关系。

PeckShield安全团队发现,去年12月多起竞猜类游戏攻击者是同一黑客所为。安全盾风控平台DAppShield通过持续黑名单库扫描和链上数据追踪发现,去年12月以来先后攻击过EOS竞猜游戏LuckBet、EOS Buff、ggeos等多个EOS竞猜游戏的4个黑客帐号之间存在关联,确定是同一黑客。数月以来,该黑客通过攻击各类EOS竞猜类游戏已经持续获利上万个EOS。

与互联网不同,即使不断“精进”的DApp黑客们却仅能专功一隅,EOS的攻击方法在其他公链并不适用。这也意味着,发生在EOS生态中的安全事件仅有十分有限的溢出效应。

“每个公链都是不同的,只能说有些攻击思路可以借鉴,但攻击手法不能完全复制。”所以PeckShield安全团队认为这些攻击手法对TRON或其他公链的影响是比较小的,而且鉴于其他公链目前的体量相比EOS还非常小,被黑客盯上的可能也会相应减小。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

为你推荐:

相关软件推荐:

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

黑客

黑客

Steven Levy / 赵俐、刁海鹏、田俊静 / 机械工业出版社华章公司 / 2011-10-31 / 69.00元

黑客文化和伦理的奠基之作,计算机专业人士必读。 二十五周年新版,涵盖比尔·盖茨、马克·扎克伯格、理查德·斯托曼、史蒂夫·沃兹尼克等著名黑客的最新资料。 多年前,射击游戏之父、Doom游戏的作者约翰·卡马克由于读到本书,坚定了游戏开发的决心。 谷歌首席信息官本·弗里德也是本书的忠实读者。 探寻黑客文化的本质,体会黑客精神的精髓。一起来看看 《黑客》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具