您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给灵火K
发送

0

游戏平台 LuckyMe、GameBet 遭攻击,黑客团伙共获利3132.65 EOS

本文作者: 灵火K 2019-01-04 14:40
导语:同一拨人,使用的是升级版的攻击技术。

雷锋网1月4日消息,曾攻击过BetDice、ToBet 等游戏的黑客团伙再次向 LuckyMe、GameBet 发动攻击。不同于上次,此次黑客采用的手法是主要针对项目方的重放攻击。据统计,黑客团伙共投入金额3773.95 EOS,收入 6906.6 EOS,共获利 3132.65 EOS。

游戏平台 LuckyMe、GameBet 遭攻击,黑客团伙共获利3132.65 EOS

据慢雾安全团队威胁情报分析,此次攻击主要分为三步:

1、向游戏合约的全节点服务器发送交易,攻击者首先调用非黑名单合约的transfer函数,其内部有一个inline action进行下注,from填写的是攻击者控制的非黑名单合约帐号,to填写的是游戏合约帐号;

2、游戏节点读取交易,立刻进行开奖。一旦中奖将对攻击者获取到的非黑名单帐号发送 EOS;

3、为了避开由于项目方开奖和交易 id 绑定而导致的下注交易和开奖交易被回滚。攻击者可以在项目方节点公布交易时监听到开奖结果,再用相同参数的合约账号发起相同交易。由于actor 为合约帐号本身,即可成功中奖;

对此,慢雾安全团队给出了如下几点防御建议:

1、开启节点read only模式,防止未知模块出现在节点服务器上;

2、建立开奖依赖,若节点服务器开奖成功,但是在bp上下注订单被回滚,相应的开奖记录也会回滚;

3、验证玩家交易中的actor和from是否为同一账号;

4、接入专业的DApp防火墙。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

资深编辑

我就是我,是颜色不一样的焰火~
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说