Written by WeaponX@零时科技
本文所有过程均在本地测试节点完成
文章用到的所有代码均在 https://github.com/NoneAge/EOS_dApp_Security_Incident_Analysis
## 0x00 背景
`EOSBet`在2018年10月14日遭到黑客攻击,根据`EOSBet`官方通告,此次攻击共被盗`142,845 EOS`(折合人民币510万,10月14日价格)。
0x01 技术分析
由于EOSBet官方在2018.09.14被黑客攻击后,将源代码开源至gitlab上,经过分析EOSBet官方合约eosbetdice11的转账记录,我们初步判断黑客可能是利用了转账通知伪造攻击。我们就直接分析源码来寻找安全问题。
首先,我们审查一下EOSIO_BAI_EX
这个代码在2018年9月14日被黑客攻击后已经修复相关漏洞,验证了transfer的调用者只能是eosio.token,也就是说只有支付了eosio.token发布的EOS才能进行相关的游戏操作。
这块代码是没有问题的。然后,我们审查一下transfer函数
验证转账账户不是自己或转账账户不是eosbetcasino才能进行相关的游戏操作。问题就出在这,EOSBet没有验证转账消息是否和自己有关就开始了相关操作。
黑客可以通过创建两个子账户A和B,只要给B账户部署以下合约
就可以子账号间的转账A->B时将转账通知recipient抄送给eosbetdice11,进行相关的抽奖游戏且不用消耗任何的EOS,简单来说就是输了不用赔钱,赢了还能赚钱。
0x02 攻击复盘
创建eosio.token账户
部署eosio.token合约并初始化
创建游戏账户、开奖账户和攻击者账户
编译攻击者合约并部署
设置账户随机权限和开奖权限
向相关账户冲入代币
部署游戏合约并初始化
模拟黑客发起攻击
可以看到,因为黑客的attacker合约require_recipient(N(eosbetdice11)),eosio.token又将转账通知发送给了eosbetdice11。
查询相关账户的余额
可见黑客控制的账户总余额没有变化,EOSBet账户金额也没有变化,却生成了游戏订单。
对订单签名并开奖
开奖成功,黑客中奖
0x03 后记
EOSBet官方在受到攻击后做了以下加固,在transfer函数中对转账的付款人和收款人做了限制,必须 有一项是合约本身。也就是说,转账和自身合约有关的才会去处理。
至此,EOSBet才正确的修复了假充值漏洞。
0x04 修复方案
零时科技安全专家建议,要防止转账通知伪造必须在处理转账交易时要验证以下内容:
通知是否来自eosio.token,即只处理eosio.token发送的通知
转账发起人或者接受人是否是自己,即转账必须跟合约本身有关,不处理其他合约的转账通知
0x05 Refer
https://medium.com/@eosbetcasino/eosbet-statement-on-hack-and-1st-dividend-distribution-a5c9aa617eaf
