文字及数据 | Carol 视觉设计 | Tina 编辑 | Tong
数据合作伙伴 | PeckShield
在《起底EOS DApp安全生态(上)》的分析中,PAData发现:
去年下半年共有49起安全事件,共波及37个DApp;
目前已有12种攻击EOS DApp的手法;
平均每15天出现一种新的攻击手法;
平均每周发生2次攻击;
黑客单次攻击最高获利80万美元;
EOS在目前DApp之争中遥遥领先,但也已成为黑客的沃土。尤其EOS通过抵押机制几乎消除了手续费,这让黑客攻击成了无本获利的买卖。黑客攻击与二级市场币价之间有着微妙关系。
“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”扫描式攻击,让所有DApp开发者胆战心惊,可能随时会在黑客面前“裸奔”。
无本获利
黑客攻击与币价的微妙关系
获利可能是黑客发起攻击的一个诱因。一般的操作方式是,黑客攻击得手后将获利直接转到交易所,然后立刻清合约离场。那么黑客的攻击行为和EOS代币在二级市场的行情是否有关呢?
PAData匹配了攻击发生当日CoinMarketCap上EOS的收盘价,并将当日收盘价分级量化。如果刚好等于当月收盘价的平均值,则记为3;如果高于当月收盘价的平均值,且低于当月收盘价的75%分位价,则记为4;如果等于或高于当月收盘价的75%分位价则记为5;反之,如果低于当月收盘价的平均值,且高于当月收盘价的25%分位价,则记为2;如果等于或低于当月收盘价的25%分位价则记为1。
根据统计结果显示,攻击行为发生的频次与当月币价不构成统计相关。但从拟合的曲线来看,存在当币价越高时,黑客攻击越活跃的现象。
比较微妙的地方在于攻击发生当日的收盘价与黑客所获的EOS数量之间的关系上。虽然当币价走高时,黑客攻击的次数可能会变多,但单次攻击得手的EOS数量却没有随之变多。
必须要强调的是,这两者同样不构成统计相关。但从拟合的曲线来看,似乎呈现出了一条两端低、中间高的抛物线。这可能仅是一种巧合,如果大胆猜测,也可能折射出黑客的某种微妙心理。
这意味着,虽然发起攻击是一项无本获利的买卖,但面对二级市场行情起伏剧烈的加密货币,币价可能会对黑客的心理产生微妙的影响。当币价处于当月很低或很高水平时,黑客单次攻击得手的EOS数量反而较少,并没有因为币价高,黑客就多攻击多获得EOS。反而当币价接近当月平均值时,黑客会倾向通过单次攻击尽可能多的获得EOS。
这种关系很微妙,相当于不管币价高低,黑客都会攻击,但黑客单次攻击获得的收益(美元计算)是相对稳定的,不存在因为币价高,黑客获利就一定高的现象。
多起攻击系同一黑客所为
扫描式攻击 有黑客屡战屡胜
黑客紧盯着EOS DApp的漏洞,一旦发现,绝不对“轻饶”。PAData梳理数据发现,黑客已经出现了“团伙作案”和地毯式的攻击。他们的“探测器”对每个DApp进行全身扫描,不愿意放过任何一个获利机会。
从上图的列表中能观察到一些有意思的黑客行为。比如黑客在破解随机数时,为了提高破解的概率,生成了一些列账号一起发起攻击,比如名为“fortopplayx1”、“fortopplayx2”、“fortopplayx3”、 “fortopplayx4”、“fortopplayx5”、“fortopplayxx”的系列账号在10月26日对EosRoyale发起的攻击那样。而且通常这些账号的命名是有规律的,比如“binaryfunxxx”、“xxxxcoinxxxx”(X表示随机生成)。
大多数黑客发起攻击的地址都是唯一的,这样可以最大程度做到匿名性,但名为“eykkxszdrnnc”的黑客分别对EOS MAX和EOS BigGame发起2次交易回滚攻击,黑客“jk2uslllkjfd”分别对EOSDICE和FFGame发起了2次随机数攻击。
关于黑客的行为偏好,PechShield EOS安全负责人施华国解释道:“黑客也‘薅羊毛’,黑客肯定所有的游戏都盯,用一个攻击手法能薅到哪个就薅哪个,薅不到的话就找下一个攻击漏洞。相当于黑客有把万能钥匙,所有银行的门都锁着,那就挨个试,撬开哪个算哪个。”
现在还有这样一种现象,由于现在的游戏,不管是新上线的游戏还是以前的游戏,都有各种各样的逻辑问题,所以“每上线一款新游戏的时候,就有黑客在尝试用扫描的方式去扫描漏洞,如果发现这个游戏有已知的漏洞,他就直接进行攻击了。”PeckShield安全团队发现这种情况确实还存在,也有黑客屡战屡胜。
而这些黑客账号背后还可能有更为复杂的关系。
PeckShield安全团队发现,去年12月多起竞猜类游戏攻击者是同一黑客所为。安全盾风控平台DAppShield通过持续黑名单库扫描和链上数据追踪发现,去年12月以来先后攻击过EOS竞猜游戏LuckBet、EOS Buff、ggeos等多个EOS竞猜游戏的4个黑客帐号之间存在关联,确定是同一黑客。数月以来,该黑客通过攻击各类EOS竞猜类游戏已经持续获利上万个EOS。
与互联网不同,即使不断“精进”的DApp黑客们却仅能专功一隅,EOS的攻击方法在其他公链并不适用。这也意味着,发生在EOS生态中的安全事件仅有十分有限的溢出效应。
“每个公链都是不同的,只能说有些攻击思路可以借鉴,但攻击手法不能完全复制。”所以PeckShield安全团队认为这些攻击手法对TRON或其他公链的影响是比较小的,而且鉴于其他公链目前的体量相比EOS还非常小,被黑客盯上的可能也会相应减小。