您现在的位置: 首页 > 维权动态 > 交易所黑幕 > LuckyMe、GameBet 遭攻击,黑客团伙获利3132.65 EOS

LuckyMe、GameBet 遭攻击,黑客团伙获利3132.65 EOS

作者:老K维权   来源:老K维权  热度:110  时间:2019-01-04
宅客频道1月4日消息,曾攻击过BetDice、ToBet 等游戏的黑客团伙再次向 LuckyMe、GameBet 发动攻击。不同于上次,此次黑客采用的手法是主要针对项目方的重放攻击。据统计,黑客团

宅客频道1月4日消息,曾攻击过BetDice、ToBet 等游戏的黑客团伙再次向 LuckyMe、GameBet 发动攻击。不同于上次,此次黑客采用的手法是主要针对项目方的重放攻击。据统计,黑客团伙共投入金额3773.95 EOS,收入 6906.6 EOS,共获利 3132.65 EOS。

据慢雾安全团队威胁情报分析,此次攻击主要分为三步:

1、向游戏合约的全节点服务器发送交易,攻击者首先调用非黑名单合约的transfer函数,其内部有一个inline action进行下注,from填写的是攻击者控制的非黑名单合约帐号,to填写的是游戏合约帐号;

2、游戏节点读取交易,立刻进行开奖。一旦中奖将对攻击者获取到的非黑名单帐号发送 EOS;

3、为了避开由于项目方开奖和交易 id 绑定而导致的下注交易和开奖交易被回滚。攻击者可以在项目方节点公布交易时监听到开奖结果,再用相同参数的合约账号发起相同交易。由于actor 为合约帐号本身,即可成功中奖;

对此,慢雾安全团队给出了如下几点防御建议:

1、开启节点read only模式,防止未知模块出现在节点服务器上;

2、建立开奖依赖,若节点服务器开奖成功,但是在bp上下注订单被回滚,相应的开奖记录也会回滚;

3、验证玩家交易中的actor和from是否为同一账号;

4、接入专业的DApp防火墙。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 程序媛以图搜图

心脏滴血 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手


真相篇

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币:我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮,竟然是中国人

iPhone充电器可以当监听器?我到某宝试了下

当俄罗斯黑客遇到老虎机 发家致富

一个自动挖掘工具,能找到比核武器更可怕的漏洞

“老婆,开门”,隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁,家里闹妖精?

中国安全圈真实薪资曝光


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后,如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


阅读推荐

广告位 ID:2 320*120

登录

使用微信帐号直接登录,无需注册