雷锋网(公众号:雷锋网)1月4日消息,曾攻击过BetDice、ToBet 等游戏的黑客团伙再次向 LuckyMe、GameBet 发动攻击。不同于上次,此次黑客采用的手法是主要针对项目方的重放攻击。据统计,黑客团伙共投入金额3773.95 EOS,收入 6906.6 EOS,共获利 3132.65 EOS。
据慢雾安全团队威胁情报分析,此次攻击主要分为三步:
1、向游戏合约的全节点服务器发送交易,攻击者首先调用非黑名单合约的transfer函数,其内部有一个inline action进行下注,from填写的是攻击者控制的非黑名单合约帐号,to填写的是游戏合约帐号;
2、游戏节点读取交易,立刻进行开奖。一旦中奖将对攻击者获取到的非黑名单帐号发送 EOS;
3、为了避开由于项目方开奖和交易 id 绑定而导致的下注交易和开奖交易被回滚。攻击者可以在项目方节点公布交易时监听到开奖结果,再用相同参数的合约账号发起相同交易。由于actor 为合约帐号本身,即可成功中奖;
对此,慢雾安全团队给出了如下几点防御建议:
1、开启节点read only模式,防止未知模块出现在节点服务器上;
2、建立开奖依赖,若节点服务器开奖成功,但是在bp上下注订单被回滚,相应的开奖记录也会回滚;
3、验证玩家交易中的actor和from是否为同一账号;
4、接入专业的DApp防火墙。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。
https://www.leiphone.com/news/201901/QGPcyn2pqFfcxPnp.html
猜你喜欢
-
传下代iPhone将定制ToF相机,可模拟人眼,增强AR体验
-
潜行类VR动作游戏《Phantom》发布最新预告片
-
线下VR游戏《星际迷航》:一款适合团建的刺激太空枪战体验
-
下一代苹果手机或全部采用OLED屏,渗透率有望加速提升
-
传亚马逊已研发出第二代AI芯片,比第一代至少快20%
-
《半条命VR》效果明显,Valve Index美国和加拿大售罄
-
三星Galaxy S11带壳渲染图曝光:矩阵相机/1亿像素 还有骁龙865
-
Insomniac推第二款Magic Leap游戏《Strangelets》
-
苹果新AR/MR眼镜专利:用单面镜涂层隐藏眼镜光学元件
-
《Stormland》:一款VR游戏的艺术创作之旅