Login
欢迎来到未来世界

您现在的位置是: 首页 > 计算机 > 区块链

区块链

智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节

区块链 加入收藏
下面由小编针对智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节为您答疑解惑,希望能给您带来有一些有效参考。作者:安比(SECBIT)实验室&AnChain.ai安比(SECBIT)实验室创始人郭宇:2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是

下面由小编针对智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节为您答疑解惑,希望能给您带来有一些有效参考。

作者:安比(SECBIT)实验室 & AnChain.ai安比(SECBIT)实验室创始人郭宇:2009年,中本聪创造了一个虚拟的去中心化新世界。

这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。

但与所有的生态系统一样,新世界有生命,就有捕食者。

有交易者,就有黑客。

区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。

意料之外,也在意料之中。

Last Winner(类 Fomo3D)游戏大火,导致以太坊异常拥堵,Gas 费用暴涨。

大量以太币资金入场。

北京时间 2018 年 8 月 10 日凌晨 1:38,加州时间 9 日上午 10:38,安比(SECBIT)实验室收到合作伙伴美国硅谷 AnChain.ai 公司消息,基于 AI 的态势感知系统发出预警信息,发现部分游戏合约出现大量交易并且存在异常的资金流动情况。

安比(SECBIT)实验室的小伙伴赶紧根据最新线索,对相关合约和交易进行观察、跟踪、分析。

安比(SECBIT)实验室由中国科学技术大学博士郭宇创建,从密码学、代码语义、形式化验证、博弈论、编译器等多种理论角度切入,在智能合约安全技术上开展全方位深入研究。

AnChain.ai 由辛辛那提大学计算机博士方春生 Victor Fang 创建,方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家,负责 AI 产品研发。

AnChain.ai 专注安全威胁情报、区块链态势感知,凭借 AI 技术助力区块链生态安全。

下文敏感地址只保留前 4 位。

片尾有三个彩蛋,智能合约爱好者请不要错过。

悄然上线莫名火爆的 Last WinnerLast Winner 是一款基于以太坊智能合约的 DApp 游戏,于 8 月 6 日上线,这款游戏一经推出,就“异常”火爆。

这款游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C。

据 Etherscan 显示,短短六天时间内,该游戏合约就已产生 27 万余笔交易。

甚至前段时间以太坊网络大拥堵也与 Last Winner 游戏密切相关。

8 月 8 日 和 9 日,在 Last Winner 和 Fomo3D 超大规模交易量的共同作用下,以太坊未确认交易数量创年内新高,平均 Gas 费用一度飙升至正常 10 倍以上。

该游戏第一轮奖池金额为 1.6 万多个以太币,而玩家总投资额更超过 10 万以太币,资金量巨大。

目前游戏第一轮已结束,第二轮奖金池已迅速累积至 7000 多以太币。

疯狂的现象级游戏背后暗流涌动。

疑团重重前期大量参与者的资金来历不明据知名媒体「区块律动」报道,Last Winner 由名为「蚁群传播」的资金盘传销组织推广运营,有着数量众多的会员和极强的推广拉下线能力 [1]。

而据另一款火爆游戏 Fomo3D 开发团队称,Last Winner 是仿 Fomo3D 游戏,其背后运营团队准备了 20 万 ETH 来进行自动刷量交易。

因此,Last Winner 游戏火爆的背后,可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造活跃假象,吸引新韭菜入场。

Last Winner 游戏合约存在大量非正常交易,并且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大,这引起了我们的高度警惕。

疯狂推广只面向国人,合约源码却从未公开在各大论坛、媒体、以及微信群中,都可以见到 Last Winner 游戏的推广文章,而这些文章有着类似的描述,并且都附上推广邀请码。

但 Last Winner 英文相关资料非常少。

显然,这是一款针对中国人的游戏,有着诱人的推广(拉下线)奖励,因此在网络上广为传播。

并且,这款游戏有适配安卓和 iPhone 手机的 App,简化了使用操作,降低了参与门槛。

但是,十分可疑的是,作为一款基于智能合约的区块链游戏,Last Winner 居然没有公开合约源代码!这是一个非常危险的信号。

为何这样一个游戏能这么火爆,吸引这么多人参加?我们直觉上感到这款游戏到处透露着诡异的气息。

安全性存疑实则是 Fomo3D 山寨版Last Winner 官方宣传语写道:Last Winner(LW)是首款完全去中心化的类 Fomo3D 游戏 DApp,完全基于以太坊智能合约原生开发。

只要下载安装 App 就可参与游戏。

类 Fomo3D 游戏,且未公开源代码,这不得不让人产生怀疑。

要知道,短短时间内原创开发一个好玩又安全的 DApp 游戏难度非常大。

安比(SECBIT)实验室迅速使用内部工具逆向分析了 Last Winner 的合约代码(字节码)。

果不其然,这款游戏合约代码函数名称与 Fomo3D 高度相似,疑似直接拷贝(抄袭)了 Fomo3D 的源码,但却又新增了 10 余个可疑未知函数。

尽管 Fomo3D 在 Etherscan 公开了源代码,但这并不代表它开源给任何人随意使用。

安比(SECBIT)实验室之前报道过:在 Fomo3D 爆红之后,各类山寨版 Fomo3D 层出不穷。

之前这些山寨版游戏往往复制 Fomo3D 官网和合约源码,并可疑地在一些地方进行修改。

而 Last Winner 在此基础上更进一步,推出移动客户端,并疯狂推广,却不公开智能合约源代码。

智能合约游戏或 DApp 的亮点之一就是公开透明。

当前大家对于智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节都是颇为感兴趣的,那么小编也是在网络上收集了一些相关信息以便大家阅读。

图集详情底部广告位