据 PeckShield(派盾)数据统计,截至 2019 年 12 月初,智能合约& DApp 安全事件共 101 起,大多被黑事件发生于 EOS DApp,其次则为 TRON DApp,而 ETH 生态则增加成熟和稳固,只发生了三起被黑事件。截至 2019 年 12 月,三大平台 DApp 被黑总损失超 1000万美元。 虽然损失金额数目依旧庞大,但是 PeckShield(派盾)发现,2019 年,智能合约& DApp 生态上一些简单且具有连带威胁的漏洞正逐渐减少,尽管黑客们仍持续进行撒网式的攻击尝试,但项目开发者基础的安全攻防意识已初步形成,一些较为低级的安全漏洞明显有所减少。 EOS 公链上今年共发生超 78 起典型攻击事件,Odaily星球日报统计了损失在 1000个 EOS 之上的案例(见下表)发现,1-4 月为集中爆发期,占全年攻击事件的 70%。攻击手法主要有交易阻塞、回滚交易攻击,假转账通知,随机数破解等,其中 9 起为交易阻塞攻击,8 起为随机数问题引起的攻击,5 起交易回滚攻击。 不同于以往频发的随机数或交易回滚攻击等合约层的攻击行为,交易阻塞攻击是一种利用底层公链缺陷而发起的攻击行为,中招应用包括 EOS.Win、FarmEOS、剪影游戏、EOSABC、SKReos 等热门 DAPP,其中 SKReos 之前已被多次报道遭受交易阻塞和随机数攻击。 深入分析后发现,交易阻塞攻击是存在于主网层的致命拒绝服务漏洞,攻击者可发起大量垃圾延迟交易导致 EOS 全网超级节点(BP)无法打包其它正常交易,即通过阻断打包正常用户的交易进而瘫痪 EOS 网络。 由于该漏洞本质上属于底层主网问题,任何 DApp 游戏,只要依赖如账号余额或时间等相关链上因素产生随机数,都存在被攻击的可能。这也是为什么在一月份出现大量 EOS 的 DApp 被攻击的原因。 2019年 TRON 公链上共发生近 20 起典型攻击事件,主要集中在 4、5、7 月,以小规模攻击为主,攻击手法以交易回滚攻击为主。 黑客下手的时间与 TRX 的币价有一定关联,根据 BitUniverse 数据,2019 年 3—5 月为 TRON 代币全年涨幅最大的几个月份,在 4 月 29 日曾达到其全年的巅峰值(0.09 USDT),在这一天,包括 TronTu, TronFlush 在内的波场多个 DApp 遭黑客撒网式交易回滚攻击。 黑客通过部署攻击合约,持续对多个 DApp 合约地址进行固定投注,每发起一次投注,如果获利成功则继续投注,否则实施回滚,确保每次都能稳赢。这次回滚攻击共损失了 33933 TRX,按照 TRX 当日价格计算,约为 21364 元。 ETH 生态在 2019 年未发生较严重的 DApp 攻击事件,一是因为 ETH 公链上菠菜竞猜类合约数量较少,热度不够,二是因为整体来说 ETH 智能合约项目方在安全方面做的较完善。2019 年 10 月 14 日,Cheeze Wizards 在以太坊主网上线。不到 24 小时内,玩家 @samczsun 向官方反映,游戏合约存在一个严重的漏洞,使用该漏洞可以让玩家处于不败之地。随后 Cheeze Wizards 决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约,同时弥补了用户遭受的损失。 这次漏洞事件也导致 Cheeze Wizards 成为第一个进行硬分叉的区块链游戏。 —- 编译者/作者:大姐 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
2019 DApp 漏洞情况概览
2020-02-13 大姐 来源:区块链网络
LOADING...
相关阅读:
- NodeMax(N3)——数字经济迸发驶向财富蓝海2020-08-06
- 以太坊2.0测试网上线,公链将迎来新时代,还会有400以下的以太坊吗2020-08-06
- 引领DeFi新潮流:一文看懂IOST的DeFi布局2020-08-06
- 什么是ChainLink代币?为什么价格在不到4个月的时间内上涨超过1800%?在2020-08-06
- 8/6BTC合约新手如何布局请看本文2020-08-06