登录 注册 App下载 简体中文
  • 简体中文
  • English
  • 交易
  • 行情
  • 快讯
  • 帮助
  • 2018-12-19 19:14

    警报 | 为逃离ECAF追踪,黑客创建2,190个子账号销赃

    据PeckShield态势感知平台12月19日数据显示:今晨,PeckShield披露了四款EOS竞猜类游戏接连遭黑客攻击的安全事件,共涉及数字资产288,329.85个EOS。

    PeckShield安全人员进一步追踪链上数据发现,黑客从账号(hnihpyadbunv)起开始大批量创建子账号,先后创建了eykkxszdrnnc、kfexzmckuhat……等多达2,190个子账号实施资金转移,有157,367.81个EOS发稿前在账号udmkqiqlpxvb上停留。

    PeckShield安全人员初步分析认为,由于ECAF的黑名单追踪冻结有一定范围,黑客欲通过大批量创建子账号来逃离追踪进行销赃(洗钱)。

    目前,该笔资金尚未最终转移至交易所,黑客还在持续进行资金转移操作,PeckShield已经和ECAF官方建立合作追踪最终资金流向,进而帮助各大游戏开发者挽回部分损失。

    2018-12-19 19:10

    动态 | Tobet遭回滚交易攻击的修复方案已采用

    12月19日,EOS游戏Tobet被恶意账户kfexzmckuhat攻击,使用的攻击方式为回滚交易攻击。

    据Beosin (成都链安)团队分析,攻击原理可能为:在下注时进行交易回滚,下注之后到交易回滚这段时间内,当前节点的数据库中会短暂存在下注数据。而Tobet是通过合约外轮询节点数据库的方式查询下注,之后会在合约外开奖将结果传递给开奖action;当攻击者不断下注并回滚交易时,由于下注和Tobet轮询使用节点相同,Tobet开奖轮询能短暂查询到数据库下注信息并且进行开奖。但是攻击者的下注并没有成功,而合约会不断为其开奖,导致无本套利。

    目前有关方面已经推出修复方案;采用读写分离的方式修复,读取采用read-only的节点,写入采用另一个节点,以规避该漏洞风险。

    2018-12-19 18:27

    行情 | EOS晚间币价17.6129人民币 过去24小时涨幅7.65%

    截至12月19日下午18点整,EOS币价为2.554美金,折合人民币约17.6129元,较过去24小时币价上涨7.65%。

    2018-12-19 18:27

    RAM价格 | EOS RAM晚间市场价格0.0642 EOS/KB

    截至12月19日下午18点整,RAM价格为0.0642 EOS/KB,较过去24小时下降1.83%。目前全网RAM总容量为89.6GB,已占用41.7GB,占用率为46.56%。

    2018-12-19 16:25

    官方 | Block.one发布EOSJS 20.0.0-beta3版本

    12月19日,Block.one在推特上发布EOSJS 20.0.0-beta3版本,对签名提供程序化的本地支持和功能增强。

    EOSJS 20.0.0-beta3版本中存在重大更改,集成商必须锁定其依赖项版本。此版本更改使Dapp开发人员能够集成通用API,并自动支持用户选择的任何密钥管理和签名解决方案。

    EOSJS v20.0.0-beta3的亮点:

    1.删除对eosjs-ecc的依赖(#425)

    2.支持React Native Apps(#425)

    3.支持签名提供商修改交易(#418)

    4.改进了对Multisig交易的处理(#432)

    EOSJS 20.0.0版本仍处于测试阶段,为了增强库的安全性和可用性,EOSJS 20.0.0版本会经常更新。

    2018-12-19 14:49

    动态 | 佳能社区:DAPP应自查是否读写分离及读节点设置readonly

    12月19日,EOS Cannon胖哥在币乎发文表示,给大家分享一下佳能和 MYKEY技术团队对本次回滚攻击调查方式推演的一个推断。

    攻击方式是抓住了DAPP节点读写没有分离的漏洞,黑客直接运用DAPP读的节点去发送交易,那么该节点会最早执行合约逻辑计算DCE结果,如果黑客那就不做任何操作,等该节点广播同步到快节点就贏了。

    如果黑客输了,黑客同时发送一笔转账操作到目前正出快主节点,让账号余额不足以完成先前的那笔交易,那么先前的那笔交易就会被废弃,那么黑客就不会输了。

    综上运用的方式还是传统的方式:双花!

    DAPP应该自查一下是否将读写分离以及读节点设置成 readonly。

    2018-12-19 14:18

    警告 | 慢雾安全团队发布 EOS 交易所“假充值”漏洞防护建议

    针对今日凌晨出现的 BetDice 等大量头部 DApp 遭受回滚交易攻击的情况,慢雾安全团队建议 EOS 交易所及中心化钱包在通过 RPC 接口 get_actions 查询热钱包充值记录时,应检查充值 transaction 所在的 block_num 是否小于 last_irreversible_block(最新不可逆区块),如果 block_num 大于 last_irreversible_block 则表示该区块仍然是可逆的,存在“假充值”风险。

    2018-12-19 14:14

    警告 | Peckshield:多款EOS游戏遭同一帮黑客攻击 损失超500万元

    12月19日,据 Peck Shield态势感知平台数据显示:今晨黑客( hnihpyadbunv)向EOS竞猜类游戏 Betdice游戏合约( betdiceadmin)发起攻击,共计获利195,530.79个EOS。同一时间段,EOS另款竟猜类游戏 Tobet游戏合约( tobetioadmin)也遭到黑客( kfexzmckuhat)的攻击,共计损失22,403.69个EOS。此外 另两款同类型游戏 EOSMAX7和Big Game也遭到较大额攻击。初步估算,四款游戏累计损失超288,329.85个EOS,以当前EOS市场价格18元估算,价值超500万元。

    Peckshield安全人员分析认为:接连发生的四款竞猜类游戏被攻击事件,均和Eosnode存在漏洞有关,初步推断为同一帮黑客所为。攻击 Betdice的账号hnihpyadbunv创建了账号eykkxszdrnnc,用来攻击EOSMAX与Biggame。账号eykkxszdrnnc又创建了子账号 kfexzmckuhath用来攻击 Tobet。攻击成功后,再频繁创建子账户转移所得资产。 

    2018-12-19 13:51

    动态 | 回滚交易攻击漏洞已解决 EOSMax恢复服务

    12月19日,EOSMax发公表示,经过团队调查与BP商讨解决方案,EOSMax已经成功修复问题,目前已恢复服务。

    具体解决方案如下:EOSMax将采用读写分离的方式来修复该问题,读取采用read-only的节点,写入采用另一个节点以规避回滚交易漏洞。

    由于EOSMax采用理论庄家优势抽水进入分红池,所以此次攻击分红池不受影响。

    2018-12-19 13:42

    动态 | 回滚交易攻击漏洞已解决 Big.game恢复下注

    12月19日,Big.game发公告表示,关于回滚交易攻击漏洞问题,Big.game已经成功修复漏洞,同时继本次漏洞被攻击后,骰子奖池被股东撸空,技术人员经过仔细检查后确认双种子验证随机数没有被破解,团队已经继续充值了奖池。

    由于Big.game采用理论庄家优势抽水进入分红池,所以此次攻击分红池不受影响。

    同时为了避免类似的事件,技术方面研究一个机制彻底解决被攻击的防御问题,确保以后不会发生类似的事件。