文字及數據| Carol 視覺設計| Tina 編輯| Tong

數據合作夥伴| PeckShield

在《起底EOS DApp安全生態(上)》的分析中,PAData發現:

去年下半年共有49起安全事件,共波及37個DApp;

目前已有12種攻擊EOS DApp的手法;

平均每15天出現一種新的攻擊手法;

平均每週發生2次攻擊;

黑客單次攻擊最高獲利80萬美元;

EOS在目前DApp之爭中遙遙領先,但也已成為黑客的沃土。尤其EOS通過抵押機制幾乎消除了手續費,這讓黑客攻擊成了無本獲利的買賣。黑客攻擊與二級市場幣價之間有著微妙關係。

“黑客也'薅羊毛',黑客肯定所有的遊戲都盯,用一個攻擊手法能薅到哪個就薅哪個,薅不到的話就找下一個攻擊漏洞。相當於黑客有把萬能鑰匙,所有銀行的門都鎖著,那就挨個試,撬開哪個算哪個。”掃描式攻擊,讓所有DApp開發者膽戰心驚,可能隨時會在黑客面前“裸奔”。

無本獲利

黑客攻擊與幣價的微妙關係

獲利可能是黑客發起攻擊的一個誘因。一般的操作方式是,黑客攻擊得手後將獲利直接轉到交易所,然後立刻清合約離場。那麼黑客的攻擊行為和EOS代幣在二級市場的行情是否有關呢?

PAData匹配了攻擊發生當日CoinMarketCap上EOS的收盤價,並將當日收盤價分級量化。如果剛好等於當月收盤價的平均值,則記為3;如果高於當月收盤價的平均值,且低於當月收盤價的75%分位價,則記為4;如果等於或高於當月收盤價的75%分位價則記為5;反之,如果低於當月收盤價的平均值,且高於當月收盤價的25%分位價,則記為2;如果等於或低於當月收盤價的25%分位價則記為1。

4.jpg

根據統計結果顯示,攻擊行為發生的頻次與當月幣價不構成統計相關。但從擬合的曲線來看,存在當幣價越高時,黑客攻擊越活躍的現象。

5.jpg

比較微妙的地方在於攻擊發生當日的收盤價與黑客所獲的EOS數量之間的關係上。雖然當幣價走高時,黑客攻擊的次數可能會變多,但單次攻擊得手的EOS數量卻沒有隨之變多。

6.jpg

必須要強調的是,這兩者同樣不構成統計相關。但從擬合的曲線來看,似乎呈現出了一條兩端低、中間高的拋物線。這可能僅是一種巧合,如果大膽猜測,也可能折射出黑客的某種微妙心理。

這意味著,雖然發起攻擊是一項無本獲利的買賣,但面對二級市場行情起伏劇烈的加密貨幣,幣價可能會對黑客的心理產生微妙的影響。當幣價處於當月很低或很高水平時,黑客單次攻擊得手的EOS數量反而較少,並沒有因為幣價高,黑客就多攻擊多獲得EOS。反而當幣價接近當月平均值時,黑客會傾向通過單次攻擊盡可能多的獲得EOS。

這種關係很微妙,相當於不管幣價高低,黑客都會攻擊,但黑客單次攻擊獲得的收益(美元計算)是相對穩定的,不存在因為幣價高,黑客獲利就一定高的現象。

多起攻擊系同一黑客所為

掃描式攻擊有黑客屢戰屢勝

黑客緊盯著EOS DApp的漏洞,一旦發現,絕不對“輕饒”。 PAData梳理數據發現,黑客已經出現了“團伙作案”和地毯式的攻擊。他們的“探測器”對每個DApp進行全身掃描,不願意放過任何一個獲利機會。

7.jpg

從上圖的列表中能觀察到一些有意思的黑客行為。比如黑客在破解隨機數時,為了提高破解的概率,生成了一些列賬號一起發起攻擊,比如名為“fortopplayx1”、“fortopplayx2”、“fortopplayx3”、 “fortopplayx4”、“fortopplayx5”、“fortopplayxx”的系列賬號在10月26日對EosRoyale發起的攻擊那樣。而且通常這些賬號的命名是有規律的,比如“binaryfunxxx”、“xxxxcoinxxxx”(X表示隨機生成)。

大多數黑客發起攻擊的地址都是唯一的,這樣可以最大程度做到匿名性,但名為“eykkxszdrnnc”的黑客分別對EOS MAX和EOS BigGame發起2次交易回滾攻擊,黑客“jk2uslllkjfd”分別對EOSDICE和FFGame發起了2次隨機數攻擊。

關於黑客的行為偏好,PechShield EOS安全負責人施華國解釋道:“黑客也'薅羊毛',黑客肯定所有的遊戲都盯,用一個攻擊手法能薅到哪個就薅哪個,薅不到的話就找下一個攻擊漏洞。相當於黑客有把萬能鑰匙,所有銀行的門都鎖著,那就挨個試,撬開哪個算哪個。”

現在還有這樣一種現象,由於現在的遊戲,不管是新上線的遊戲還是以前的遊戲,都有各種各樣的邏輯問題,所以“每上線一款新遊戲的時候,就有黑客在嘗試用掃描的方式去掃描漏洞,如果發現這個遊戲有已知的漏洞,他就直接進行攻擊了。”PeckShield安全團隊發現這種情況確實還存在,也有黑客屢戰屢勝。

而這些黑客賬號背後還可能有更為複雜的關係。

PeckShield安全團隊發現,去年12月多起競猜類游戲攻擊者是同一黑客所為。安全盾風控平台DAppShield通過持續黑名單庫掃描和鏈上數據追踪發現,去年12月以來先後攻擊過EOS競猜遊戲LuckBet、EOS Buff、ggeos等多個EOS競猜遊戲的4個黑客帳號之間存在關聯,確定是同一黑客。數月以來,該黑客通過攻擊各類EOS競猜類游戲已經持續獲利上萬個EOS。

與互聯網不同,即使不斷“精進”的DApp黑客們卻僅能專功一隅,EOS的攻擊方法在其他公鏈並不適用。這也意味著,發生在EOS生態中的安全事件僅有十分有限的溢出效應。

“每個公鏈都是不同的,只能說有些攻擊思路可以藉鑑,但攻擊手法不能完全複製。”所以PeckShield安全團隊認為這些攻擊手法對TRON或其他公鏈的影響是比較小的,而且鑑於其他公鏈目前的體量相比EOS還非常小,被黑客盯上的可能也會相應減小。