当前位置: 主页 / 最新

区块链

区块链世界的“新灰产”: 各类合约破绽已被黑客盯上

本文发表于: 2018-09-15 16:12

当咱们还在讨论牛市熊市,能不能回不回本的问题的时候,已经有一帮“黑客”靠撸各类dapp智能合约漏洞发家。

其实大家也都知道,以太坊上曾经也出现过很多次黑客事件,有拿到fomo3d大奖的,也有利用项目方合约漏洞生成额外的token的。而如今,其中一些戏码转移到了EOS上,同时由于主网上线才三个月,各类开发也都还在摸索阶段,对于撸客来说,难度和成本都不高。


昨天,一系列在EOS dapp排名靠前的游戏合约被“黑客”攻击(因涉事游戏多为菠菜,这里就不多介绍了),具体详情可以查看一篇文章:https://bihu.com/article/1358201


只是这次的攻击方式简单到颇叫人无语,在EOS网络上是可以创建同名token的,然后有人创建了一个叫EOS的token,转到了bet合约里,游戏合约没有做验证(真EOS是由eosio.token创建),于是游戏者可以转入假币,通过游戏赢回真币。


这个叫aabbccddeefg的账号,通过这一方式,陆陆续续撸了5万EOS出来。


引得吃瓜群众纷纷表示:six six six 


而这个账号的主账号guydgnjygige,更是厉害,有兴趣的可以去观摩一下,这个主账号光小号就50个。看他与其他账号的链上聊天记录,对怎么撸合约漏洞,了如指掌:


上图中向他咨询的这位仁兄zhipeng11111,曾经也撸过目前日活排名第二的eosknights的游戏中漏洞,被官方封号,看来这还不是一个人,有一帮人都在关注这一领域。


(eosknights做工较为精细,避开了这次灾难,不过今天凌晨貌似官方合约遭受了其他方式的攻击,也可能是白帽测试,目前还暂不清楚原因)


而在同一天,柚子上新晋去中心化交易平台newdex也未幸免:

究其原因,如上面我分享的币乎文中所言,这些开发团队可能都用的同一篇文章中的“问题代码”[捂脸]。

这个程序猿的锅就不要让EOS来背了,不过目前看来,此次事件对价格影响不大,当然这也是由于受损害的基本上都是开发团队,用户资产安全并未波及。


而多涉及的游戏,也算是“黑吃黑”,恐怕只能通过一些协调方式,看怎样来挽回。

而靠EOS里的仲裁,能否成功存在未知,因为从某种角度来说,“黑客”其实并未违反代码的逻辑,代码本身没校验是不是eosio.token创建的币啊,又怎么证明这是不是开发者有意为之?


很多人可能因此又对dapp的未来担忧,认为是伪需求之类,但很多时候坏事换个角度看,也是好事:


1. 做dapp目前还是很早很早的荒蛮时期,开发团队也不成熟,自然有很多坑要踩,早发现,早解决。


2. 现在有一大堆韭菜表示要多学习,要仔细研究透eos,来撸漏洞,哈哈,而这其实也会引起开发团队对代码安全的重视,加速智能合约开发的成熟。


3. 没有黑客光顾的公链,不足够有价值。


从用户角度来说,最后咱们也提醒几点:


1. 撸漏洞的正确姿势,应该是发现后告知开发团队,都是会有奖励的,想当年360不还撸了EOS团队几万美金吗,现在懂行的人少,说不定还会给你带来不少机会。


2. 想玩dapp游戏的,开个小号玩,尽量少投入,注意保护自己的资产安全。


3. 选择在排行榜上有日活量的游戏,并注意辨别网站真伪,现在已经冒出一些仿的很像的钓鱼网站,需小心。


结语


上线才三个月的网络,就已被“坏人”研究透,咱们还有什么理由不学习、不努力呢?


温馨提示:以上内容仅供参考,请勿直接作为投资依据,数字货币市场风险较大,还请谨慎参与!


如果您觉得此文对您有用,也希望能帮我们一个忙,转发给您身边的币友,我们希望能消除更多人对于数字货币的种种误解,也希望更多人能少走弯路,多多赚钱~



您点一个

小编工资涨5毛!





欢迎关注微博:@风火轮区块链

币乎:https://bihu.com/people/215719

陀螺财经号:https://www.tuoluocaijing.cn/columns/author114464/


精彩内容

汇总34篇精华内容,小白币圈入门看这篇就够了

<韭菜的自我修养>读后感:更多的情况下“韭菜”是被自己割的


【福利专区】

微信公众号聊天框内发送“资料”获取学习区块链书籍大礼包哦~


防失联,请扫描下方二维码,加入风火轮社区



·END·

风火轮区块链

发现科技的力量



合作广告:


发文时比特币价格:44705.7343425
柚子eos价格:36.3658154327
以太坊价格:1470.54797629
etc价格:76.4557688181

0 个评论

要回复文章请先登录注册