BTC/USDT
BCH/USDT
ETH/USDT

DAPP趋势榜:EOS上所有的漏洞,波场都可能重现

区块律动BlockBeats
2019-04-15 22:00
1.4万

本期波场生态有两个 DAPP 被黑客攻击受到广泛关注。

4 月 10 日晚上,黑客向波场竞猜类游戏 TronWow 发起随机数破解攻击,共计获利 216 万个 TRX。4 月 11 日凌晨,黑客向波场资金盘游戏 TronBank 发起假币攻击,1 小时内被盗走约 1.7 亿枚 BTT(价值约 85 万元人民币)

一位资深开发者告诉区块律动 BlockBeats,EOS 主网上线以来生态内一些事件,比如博彩 DAPP 的崛起、资金盘喊单、挖矿搬砖盛行、羊毛党薅羊毛,甚至连黑客攻击,都在波场上复现了。就拿近期的 TRON 生态事件来说,连 DAPP 出现的 bug 类型也是一致的。

关于最近 TRON 生态接连面临假币攻击、随机数破解等 EOS 早期频繁出现的问题,安全团队 PeckShield 创始人蒋旭宪告诉区块律动 BlockBeats,此前 TRON 生态还发生过代币无限增发问题(例如 TronCrush, Iseri Project 和 RockstarToken 上面的 TransferMint 漏洞),今后不排除其他相关攻击方式 (比如合约溢出、交易阻塞等) 在 TRON 生态陆续出现的可能

以太坊、EOS 的安全漏洞很可能在波场重现

蒋旭宪表示,由于波场在实现上结合了以太坊和 EOS 的设计,在智能合约上同样使用了 Solidity 编程语言,原先以太坊上出现的合约缺陷(包括溢出漏洞,资产被锁,和合约被劫持等问题)同样有可能在波场复演。

也就是说,在漏洞层面,2018 年 PeckShield 发现的 BEC 和 SMT 的安全漏洞 batchOverflow(CVE-2018-20199)完全可能在波场会重现,差别可能就是合约代币本身的价值不同。

另外,波场也参考了 EOS 的共识机制和支持竞猜类 DApp,2018 年 PeckShield 报道过的多个竞猜类 DAPP 上的安全问题,蒋旭宪也认为有很大机率重演。这次 BTTBank 和 TronWow 的攻击很可能只是个开始。

PeckShield 整理了关于 EOS DAPP 攻击手段的演进时间线图表。在上图中,红色方块内的攻击方式都是有可能将在波场上复现,红色方块外的攻击方式是 EOS 公链特有的,在波场上复现的可能性不大。

蒋旭宪此前曾分析,波场公链的 DAPP 市场高度繁荣但一直未曾遭到过 EOS 公链级别的高强度攻击,攻击者目前主要是将其他公链上已成熟的攻击方式迁移到波场并进行大范围攻击测试,寻找安全防护较为薄弱的合约,此阶段后,攻击者可能更进一步深度挖掘波场本身可能被利用的机制,进行更高强度和威胁的攻击。

除了上述提到的,由于波场在实现上结合了以太坊和 EOS 的设计,各自出现的安全问题都有可能在波场上以某种方式出现。特别是波场合约部署后不可更改(类似以太坊),再加上类似 EOS 的共识机制,会直接影响未来可能的攻击方式,包括攻击合约的部署,以及可能的交易回滚或阻塞。

但考虑到每一条公链都有其特殊性,公链能够上线并稳定运行也是有其必然性,黑客攻击的角度也是可能从多方面进行,包括但不限于公链上的创新设计,底层架构,P2P 协议层等。

开发者的错并不代表波场协议完全安全可靠

关于最近的波场 DAPP 安全问题,主要是开发者的问题。波场官方也表示,该合约安全问题出现在波场 DAPP 上,与协议本身没有任何关系,波场协议完全安全可靠。

蒋旭宪认为,最近的这几次攻击的确是开发者的问题,但也不能因此说明波场协议完全安全可靠,更大可能反而是新的共链层面的安全问题还有待曝出。在众多的 DAPP 安全事件里面,公链团队可以做的也是多及时关注已知的 DAPP 安全问题,并同时积极思考公链层面可以增强和改善的环节。

也有开发者认为,由于公链都是开源社区,开发者水平参差不齐,DAPP 质量也参差不齐,EOS 开发者犯的漏洞错误,波场开发者一样会犯。而且不少 DAPP 是没有准入审查的,门槛非常的低,不排除有 DAPP 在开发之初就有恶意埋雷。

蒋旭宪提醒,对于用户来说,应该尽量参与那些靠谱的 DAPP 应用。在安全研究人员的眼里,很可能是所有 DAPP 都有或多或少安全方面的问题或隐患。所以用户最好是多了解 DAPP 本身是否有考虑相应的安全模块和响应机制,DAPP 合约是否有第三方的独立审计,同时注意关注 DAPP 对应的社区或 IM 沟通群,及时获取相应资讯和安全动态。在有安全事情发生的时候,可以及时止损。

EOS 排行榜

火星财经 区块律动BlockBeats
标签:TRX,EOS,波场,波场DAPP,波场TRON,DApp
收藏
任何单位或个人认为OKZ显示的第三方内容可能涉嫌侵犯其信息网络传播权,可以通过在线或线下两个途径联系我们,我们会在合理时间内删除涉嫌侵权的作品。