遊戲平台 LuckyMe、GameBet 遭攻擊，黑客團伙共獲利3132.65 EOS

雷鋒網1月4日消息，曾攻擊過BetDice、ToBet 等遊戲的黑客團伙再次向 LuckyMe、GameBet 發動攻擊。不同於上次，此次黑客採用的手法是主要針對項目方的重放攻擊。據統計，黑客團伙共投入金額3773.95 EOS，收入 6906.6 EOS，共獲利 3132.65 EOS。

據慢霧安全團隊威脅情報分析，此次攻擊主要分為三步：

1、向遊戲合約的全節點伺服器發送交易，攻擊者首先調用非黑名單合約的transfer函數，其內部有一個inline action進行下注，from填寫的是攻擊者控制的非黑名單合約帳號，to填寫的是遊戲合約帳號；

2、遊戲節點讀取交易，立刻進行開獎。一旦中將將對攻擊者獲取到的非黑名單帳號發送 EOS；

3、為了避開由於項目方開獎和交易 id 綁定而導致的下注交易和開獎交易被回滾。攻擊者可以在項目方節點項目方節點廣播交易時監聽到開獎結果，再用相同參數的合約賬號發起相同交易。由於actor 為合約帳號本身，即可成功中獎；

對此，慢霧安全團隊給出了如下幾點防禦建議：

1、開啟節點read only模式，防止未知模塊出現在節點伺服器上；

2、建立開獎依賴，若節點伺服器開獎成功，但是在bp上下注訂單被回滾，相應的開獎記錄也會回滾；

3、驗證玩家交易中的actor和from是否為同一賬號；

4、接入專業的DApp防火牆；

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！