EOS DApp 充值“假通知”漏洞分析

最新推荐文章于 2020-01-29 10:55:36 发布
最新推荐文章于 2020-01-29 10:55:36 发布
阅读量646 收藏 1
点赞数
分类专栏: # Dapp # EOS安全技术

一、漏洞原理

EOS 的合约可以通过 require_recipient 触发调用其他合约,设计这样的机制给合约的开发者提供了很大的便利性, 但是也带了新的问题。

我们以 EOSBet DApp 被攻击事件为例:

二、漏洞重现

1. 创建攻击者普通账户:aaaaaa

2. 创建攻击合约账户:cccccc,并部署攻击合约

3. 攻击对象:eosbetdice11

我们修改官方的开源代码,加入 print 代码以便观察调用情况

4. 发起攻击

攻击者普通账户:aaaaaa 向攻击合约账户:cccccc 转账

通过控制台我们可以看到 eosbetdice11 的 transfer 函数被成功调用。

三、修复方案

校验 transfer 中的 to 是否为 _self,避免该问题。如有疑问可联系我们寻求帮助。

FLy_鹏程万里
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于eos的dapp游戏
08-16
一款基于eos的dapp游戏白皮书,包括了技术架构,经济体系,代币设计
EOS dApp 漏洞盘点分析-EOSBet 充值漏洞
m0_37598434的博客
03-08 575
Written by WeaponX@零时科技 本文所有过程均在本地测试节点完成 文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis 0x00 背景 EOSBet在2018年9月14日遭到黑客攻击,根据EOSBet官方通告,此次攻击共被盗44,427.4302 EOS(折合人民币160万,9月14日价...
预警 | EOS再现“充值漏洞, 警惕虚充值/押注
weixin_43385299的博客
03-12 844
事件 降维安全实验室(johnwick.io)近日关注到不少项目方/交易所在确认客户交易时,只检测了是否存在交易哈希(tx hash),并未检测交易状态(tx status)。这样容易遭受“充值(Fake Charge)”攻击。恶意用户只需要发起延迟交易,并在随后的实际延迟交易中造成硬失败(hard_fail),就可以不使用任何EOS,完成充值/押注等操作。 分析 我们在jungle2测试网上,...
“伪造转账通知漏洞细节披露:EOSBet遭黑客攻击损失近14万EOS始末
PeckShield的博客
10-26 352
10月15日午间,据IMEOS报道,知名EOS公链博彩游戏平台EOSBet遭遇了恶意攻击,损失了巨额EOS,初步分析为黑客账号ilovedice123对EOSBet合约e...
EOS账户学习之账户信息详解
q_776355102的博客
09-14 2326
这几天很多朋友都在问我他们账号里的EOS为啥没法转账,且都是staked状态。今天就和大家一起来分析一下EOS账号的各种操作及状态信息,比如balance, staked, delegated, cpu bandwidth, net bandwidth, memory,然后你就懂了。 账号状态信息 先看下下面的图 balance(余额)         这里的余额和网上所说的unstak...
曲速未来 揭示:发现EOS钱包窃取用户资金
WarpFuture的博客
11-12 1268
    区块链安全咨询公司 曲速未来 消息:前几天,Google Play商店中的EOS钱包应用程序一直在窃取加密货币。EOS开发者采访了Twitter,以警告社区。   前言   EOS RIO是一家位于里约热内卢的独立软件公司。该小组被指定为EOS的21个“块生产者”之一,EOSEOS区块链的主要管理机构之一。 ​ 应用程序,SimplEOS旨在模仿EOS RIO制作...
building-basic-eos-dapp-scatter:在EOS区块链上使用散点图构建基本Dapp
05-09
使用散点图的基本EOS dapp示例设定档创建一个名为eosconfig.js的文件,并将其添加到config目录中。 将其粘贴到文件中,然后为应用添加您的实际端点和密钥: module.exports = { scope:"{accountnamehere}", code:"{...
my-eos:我的EOS使编写EOS dApp变得容易!
05-14
MyEOS是一个JavaScript库,可让您轻松快捷地构建EOS dApp。 演示版 安装 NPM npm install --save my-eos 纱 yarn add my-eos HTML 将此添加到您的标头中: < link href =" ...
基于区块链技术的DAPP风险分析及管控研究.pdf
08-15
#资源达人分享计划#
tp-js-sdk:适用于EOS,ETH,IOST,TRON,COSMOS等的Dapp的TokenPocket JS API(仅限移动设备)
05-01
TokenPocket 已经兼容 Scatter(EOS)、Metamask(ETH)、TronLink(TRON)和 IWallet(IOST) 协议。已经支持了Scatter, MetaMask, TronLink, iWallet插件的Dapp可以直接在钱包内使用Dapp浏览器体验,无需再使用我们这个SDK...
支付漏洞的三种常见类型
热门推荐
喵星人
05-19 1万+
根据乌云上的案例,支付漏洞一般可以分为三类:一是在支付过程中直接发送含有需支付金额的数据包;二是没有对购买数量进行限制;三是程序的异常处理。下面就和大家说说这三种情况。  一:支付过程中直接发送含有需支付金额的数据包(常见)  危害指数:星星星星星  这种案例非常常见,主要针对支付宝等需要第三方支付的案例。开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支
漏洞学习】DVP-2018-16101(充值漏洞
Fly_鹏程万里
01-16 245
漏洞URL: https://www.mv.cool/ 简要描述: 此交易平台充值的时候给了用户一个手动输入检查充值hash 的选项,用户随意在区块上找一个hash可充值成功。造成任意充值漏洞证明: 漏洞利用代码: Test account : [email protected] Test Password:1xxxxxxxa 我刚注册的一个账户,证明可注册 hash...
eos 开发一个记录转账信息的智能合约
yhc166188的博客
08-23 1052
   “EOS to the ground!”昨天老板看了我的文章,上来就劈头盖脸说,“什么to the moon,心情差,招你来是炒币的?!我们是一个最落地的DApp开发团队,打造牛逼的产品,然后跟社区分享技术心得! %@¥#@%¥!%@*……(此处打码数千字)。”老板还说,创业团队的人要脚踏实地,还要有老板的心态。其实我觉得我就很踏实啊,还特了解我们的老板,就是凡事都要梭哈,才能有最大收获(...
(六)eos开发实战dapp+游戏--转账
u010665359的专栏
10-03 867
开言:此教材只是个人学习过程记录自己理解和各种坑如有问题可提出修正,个人注重是开发动手,小白,写也是为了重复加深印象,目标此教学习实现开发一个EOS小游戏,坚持.......  环境: Mac+EOS-1.3.0 任务:转账 1.查看账号bbbb.eos :  cleos get table aaaa.eos bbbb.eos accounts   2.转账   cleos push a...
fiddler使用技巧进阶,如何抓包修改数据?——AutoResponder重定向
协议分析与还原
01-29 4495
“介绍Fiddler的AutoResponder重定向功能。”
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
Delphi dapp
05-27
Delphi DApp指的是使用Delphi开发的去中心化应用程序(Decentralized Application),通常是基于区块链技术的应用程序。这些应用程序使用智能合约作为其核心技术,并通过区块链网络实现去中心化的数据存储和交互。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值