文/Helen 來源/PANews
近日,區塊鏈安全公司PeckShield研究人員發現,一種直接鎖定遊戲大獎的“外掛”出現在諸如ITE、EOS3D、EOSDAY等多個EOS生態內的Fomo3D類游戲上。合約攻擊合約,“外掛”獲取小概率大獎如探囊取物,奪走了原本屬於遊戲玩家的權益,嚴重影響了該類游戲的生態平衡。
由於EOS生態數據鏈上可查,攻擊者可通過查看遊戲合約的鏈上數據,用簡單的模擬發送請求即可實現“外掛”,並且與以太坊不同的是,整個實施過程門檻低且零成本,加劇了“外掛”的氾濫,甚至會威脅EOS生態穩定。
據悉,受此類“外掛”高頻刷獎影響,EOS的CPU、RAM短時間內均有明顯波動。 EOS生態內的各類游戲,用戶參與門檻低且玩法多樣,正逐漸呈風靡之勢,此類“外掛”將吞噬受影響遊戲的可玩性,加速該遊戲的“衰亡”,最終影響EOS生態秩序。 PeckShield呼籲EOS遊戲開發商加強防範意識,可通過限制單用戶操作頻次以及各種反作弊策略手段進行防護。同時也提醒廣大遊戲愛好者謹慎參與。
Fomo3D 遊戲在推出之時就曾被人質疑它的風險性。雖然由於借助智能合約,所有的交易數據都會記錄在鏈上,開發團隊在遊戲過程中無法造假,但是卻可以在多個環節收取費用,比如收取的2% 基金會費用做什麼用,為什麼要與P3D Token 聯動等問題都沒有答案。另外,作為明白遊戲道理的人,他們是可以利用這個信息差在低價的時候買入大量的Key 來獲取未來百倍甚至千倍的收益。
PeckShield也曾在之前發現Fomo3D遊戲存在“薅羊毛”安全漏洞。 7月23日,Fomo3D遊戲團隊核心成員發推表示,他們發現了一個足以毀滅以太坊的“核武器”級別的漏洞。不過,以太坊基金會開發團隊負責人之一Péter Szilágyi卻在Twitter回复這只是一種符合規範的實現,並非Fomo3D開發者所聲稱的EVM缺陷;而Fomo3D對該特性的誤用卻導致合約的空投機制存在一個可被“薅羊毛”的安全漏洞。
PeckShield安全研究人員確認了該漏洞的存在。具體而言:Fomo3D遊戲存在一個隨機性的空投機制,用戶有較小概率獲得官方的空投獎勵。攻擊者可通過一定的技術手段削弱其隨機性,進而大量地嘗試來獲得空投機會。同時,影響範圍從Fomo3D擴散至多個具有相似源代碼的同類游戲上。