2019 DApp 漏洞情况概览

据 PeckShield（派盾）数据统计，截至 2019 年 12 月初，智能合约& DApp 安全事件共 101 起，大多被黑事件发生于 EOS DApp，其次则为 TRON DApp，而 ETH 生态则增加成熟和稳固，只发生了三起被黑事件。截至 2019 年 12 月，三大平台 DApp 被黑总损失超 1000万美元。

虽然损失金额数目依旧庞大，但是 PeckShield（派盾）发现，2019 年，智能合约& DApp 生态上一些简单且具有连带威胁的漏洞正逐渐减少，尽管黑客们仍持续进行撒网式的攻击尝试，但项目开发者基础的安全攻防意识已初步形成，一些较为低级的安全漏洞明显有所减少。

EOS 公链上今年共发生超 78 起典型攻击事件，Odaily星球日报统计了损失在 1000个 EOS 之上的案例（见下表）发现，1-4 月为集中爆发期，占全年攻击事件的 70%。攻击手法主要有交易阻塞、回滚交易攻击，假转账通知，随机数破解等，其中 9 起为交易阻塞攻击，8 起为随机数问题引起的攻击，5 起交易回滚攻击。

不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为，交易阻塞攻击是一种利用底层公链缺陷而发起的攻击行为，中招应用包括 EOS.Win、FarmEOS、剪影游戏、EOSABC、SKReos 等热门 DAPP，其中 SKReos 之前已被多次报道遭受交易阻塞和随机数攻击。

深入分析后发现，交易阻塞攻击是存在于主网层的致命拒绝服务漏洞，攻击者可发起大量垃圾延迟交易导致 EOS 全网超级节点（BP）无法打包其它正常交易，即通过阻断打包正常用户的交易进而瘫痪 EOS 网络。

由于该漏洞本质上属于底层主网问题，任何 DApp 游戏，只要依赖如账号余额或时间等相关链上因素产生随机数，都存在被攻击的可能。这也是为什么在一月份出现大量 EOS 的 DApp 被攻击的原因。

2019年 TRON 公链上共发生近 20 起典型攻击事件，主要集中在 4、5、7 月，以小规模攻击为主，攻击手法以交易回滚攻击为主。

黑客下手的时间与 TRX 的币价有一定关联，根据 BitUniverse 数据，2019 年 3—5 月为 TRON 代币全年涨幅最大的几个月份，在 4 月 29 日曾达到其全年的巅峰值（0.09 USDT），在这一天，包括 TronTu, TronFlush 在内的波场多个 DApp 遭黑客撒网式交易回滚攻击。

黑客通过部署攻击合约，持续对多个 DApp 合约地址进行固定投注，每发起一次投注，如果获利成功则继续投注，否则实施回滚，确保每次都能稳赢。这次回滚攻击共损失了 33933 TRX，按照 TRX 当日价格计算，约为 21364 元。

ETH 生态在 2019 年未发生较严重的 DApp 攻击事件，一是因为 ETH 公链上菠菜竞猜类合约数量较少，热度不够，二是因为整体来说 ETH 智能合约项目方在安全方面做的较完善。2019 年 10 月 14 日，Cheeze Wizards 在以太坊主网上线。不到 24 小时内，玩家 @samczsun 向官方反映，游戏合约存在一个严重的漏洞，使用该漏洞可以让玩家处于不败之地。随后 Cheeze Wizards 决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约，同时弥补了用户遭受的损失。

这次漏洞事件也导致 Cheeze Wizards 成为第一个进行硬分叉的区块链游戏。

—-

编译者/作者：大姐

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。