No.3
众多EOS DApp遭遇交易排挤攻击
发生日期:2019 年 1 月开始事件描述:
2019 年 1 月 11 日凌晨,EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者采用的是新型攻击手法,为“交易排挤攻击”,这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。攻击者首先是发起正常的转账交易,然后使用另一个合约帐号检测中奖行为。如果不中奖,则发起大量的 defer 交易,将项目方的开奖交易“挤”到下一个区块中。该类攻击源于项目方的随机数算法使用了时间种子,使攻击者提升了中奖几率,导致攻击成功。
慢雾观点
区块链上没有完美的随机数方案,只要是采用链上的变量作为随机数因子,都存在被黑客攻破的可能。建议开发者采用 EOS 官方推荐的随机数安全实践“Randomization in Contracts”,或者引入预言机。同时在合约设计时加上风控机制,比如奖池大额转出超过某个阈值自动暂停。
版权申明:本内容来自于互联网,属第三方汇集推荐平台。本文的版权归原作者所有,文章言论不代表链门户的观点,链门户不承担任何法律责任。如有侵权请联系QQ:3341927519进行反馈。
